LUN:開源的安全可信治理與區塊鏈_區塊鏈的未來發展前景怎么樣

和大家一起聊聊“開源的安全可信治理與區塊鏈”。我的演講主要分為以下五部分：第一，開源現狀；第二，面臨的風險；第三，安全和可信治理；第四，開源與區塊鏈；第五，萬納鏈。

一

開源現狀及開源在中國的現狀

開源軟件從上世紀末開始興起，大家最初使用開源軟件的理由主要是因為其無需成本，以及能夠幫助項目快速交付。但隨著時間的推移，大家的關注點從早期的快速交付，逐漸轉變為開源軟件的可靠性。而如今，大家更加關注開源軟件的安全與可信。

隨著計算機技術的發展，尤其是互聯網企業的興起，開源軟件在操作系統、編譯工具、數據庫、服務器、中間件等各方面已經成為了主流。據Gartner調研顯示，99%的組織在IT系統中依賴于開源軟件，因為其開發模式、理念與精神、社區文化吸引了一大批開源貢獻者。當然，目前開源貢獻者絕大部分還是靠愛發電。大家愿意主動貢獻的原因，除了對開源理念與精神的認可，也有開源能幫助程序員、技術人員提高項目質量的因素。

首先，項目開源后不僅可以獲得社區其他成員的貢獻，對技術人員來說，開源項目也是非常好的展現以及推銷自身技術的窗口。開源相對于閉源來說，最大的區別在于公開、透明。開源軟件中一些Bug的發現、修復，以及新功能的提出都可以在公開的論壇中進行，對使用者來說，所有的這一切都是可溯源的，也可以做到心中有數，能夠更加放心地使用。此外，開源軟件的代碼質量往往會較好，開發人員對于要公之于眾的代碼，顯然會更加注重代碼的可讀性、可維護性等一些隱形項。不僅如此，社區成員對代碼檢查之后的評論、建議、貢獻也能夠為代碼質量的提高帶來顯著的幫助。

貝萊德研究：配置84.9%比特幣的投資組合的夏普比率為1.53超過不含比特幣的60-40投資組合:金色財經報道，貝萊德在一項開創性的資產配置研究中表示，比特幣是一種獨立的可投資資產，對于尋求回報最大化的投資者來說可能會帶來變革。這項研究于2022年4月進行，將BTC作為獨立的可投資資產進行追蹤。從2010年7月到2021年12月，貝萊德每月對比特幣作為資產的表現進行研究。貝萊德的研究結果表明，對于60-40的投資組合（60%股票和40%債券），固定風險厭惡程度為γ = 1.50，BTC的最佳配置是令人震驚的84.9%。剩余的15.1%建議分配給股票和債券。

研究發現，根據夏普比率衡量，將比特幣添加到投資組合中可以顯著提高其風險調整回報。夏普比率是表示每單位投資風險的超額回報的指標。研究顯示，不含比特幣的60-40投資組合的夏普比率為 0.72，而配置84.9%比特幣的投資組合的夏普比率為1.53。[2023/7/27 16:01:32]

開源軟件的好處多多，除了透明、高質量外，免費、定制性、自由等等也是開源軟件的好處。正是因為有這些好處，使用開源軟件的公司在逐年遞增，吸引了越來越多的開發者。近些年，全球開源貢獻者的數量持續增加，2020年GitHub平臺有5600萬貢獻者，相較于2019年增長了1600萬。

邯鄲邯山區：法院首次依法凍結“數字貨幣”:金色財經報道，近日，河北省邯鄲市邯山區人民法院在執行過程中依法凍結了一名被執行人賬戶內的數字人民幣，這在邯鄲法院尚屬首次。

該案是一起民間借貸案件，經邯山區法院判決生效后，被告郝某遲遲不履行判決義務，申請執行人向人民法院申請強制執行。邯山區法院在執行查控中也未發現被執行人名下有可供執行的財產，案件執行一時陷入僵局。近日，邯山法院接到線索：被執行人郝某名下可能有數字人民幣進賬。執行干警立即到銀行查詢，發現被執行人確實開通了新的銀行賬戶，并且卡內有3萬元的數字貨幣。

經向銀行確認屬于被執行人財產后，邯山區法院執行干警立即作出凍結裁定。由于數字貨幣屬于新的財產類型，對于銀行來說，凍結“數字貨幣”的業務也是首次發生，經辦銀行網點需要逐級向省行匯報和溝通。在執行干警與銀行工作人員的共同努力下，終于在一天之內圓滿辦結了首次“數字貨幣”凍結案件，保障了申請執行人的合法權益。[2023/4/7 13:49:58]

接下來，聊聊開源當前在中國的現狀。2020年，GitHub上美國貢獻者數量位居第一，其次就是中國的貢獻者，占到了14%，而且中國貢獻者逐年增長的速度是最快的，尤其是從2016年開始，基本上呈現了指數級的增長。據調研數據顯示，國內開發者對于開源的理解日趨成熟，70%的開發者認為開源吸引開發者的原因主要是在于其公開、透明的代碼，還有就是知識共享、開源的理念與精神。GitHub預測，到2030年中國開發者將成為全球最大的開源群體。

徐工集團與Conflux共同開啟NFT限量白名單活動:3月31日消息，全球第三大工程機械品牌徐工集團與Conflux正式推出NFT“For Real”上線計劃，并在taskon活動平臺開啟NFT白名單抽獎活動。

根據項目官網披露，“For Real”系列為徐工集團在海外探索Web3.0的第一步，未來將與Conflux區塊鏈合作依托香港，利用區塊鏈技術，在業務覆蓋的191個國家的業務中探索更加開放包容的商業模式。

據悉，徐工集團為國內首個國有企業在web3.0領域的探索。[2023/3/31 13:37:08]

2020年，中國已經使用開源技術的企業占比達到了近九成，阿里、百度、京東、PingCAP的項目在GitHub的中國項目活躍度Top20的榜單中都非常亮眼。阿里巴巴的數據在多項指標上的表現都非常不錯，有些指標甚至是其他指標之和，并且阿里在社區、文化、開放等方面也做得很好，大家日常開發工作中所用到的Notify、RocketMQ等中間件都是阿里的開源項目。

可以看出，各大互聯網企業近年來均在不斷加大開源社區的生態建設。同時，增加開源的影響力，對于企業的招聘也會產生一些顯著的助力。

二

開源軟件的風險

就像硬幣有著兩面，任何事物都有兩面性，開源有著諸多好處。隨著各領域使用開源技術的企業逐步增長，開源的劣勢逐漸在閃現出來。

Membrane Finance獲得200萬歐元的種子融資和歐盟貨幣許可證:金色財經報道，芬蘭金融科技公司Membrane Finance，正在構建美元穩定幣的歐洲替代品，已獲得該國監管機構頒發的電子貨幣許可證，并獲得了200萬歐元的種子基金。隨著電子貨幣許可證的獲得，Membrane的產品，即EUROe，成為歐盟第一個受監管的基于歐元的全儲備穩定幣。

EUROe定于2023年初推出，它采用法定歐元，并將其轉化為1:1的掛鉤數字貨幣，可用于所有主要區塊鏈上的交易。為了創造收入，Membrane Finance將一定比例的法幣儲備投資于 \"低風險資產\"。（finextra）[2022/12/7 21:29:18]

開源項目技術迭代快，運維成本高。

數量宏大，使用很多開源依賴后統籌管理比較困難。

安全漏洞威脅。

開源許可證和知識產權問題。

可能存在大修改許可或收費問題。

尤其是近年來，開源軟件的安全漏洞風險越來越顯著。2020年，熱門的開源項目中含有至少一個漏洞的項目占到了84%，比2019年增長了9個百分點。含有高危漏洞的項目甚至占到了60%，比2019年增長了11個百分點。通過掃描數以百萬計的GitHub代碼庫以及程序包，對其中500個開源項目的維護者進行調研后發現，只有8%的開源項目維護者自認為有比較高的信息安全技術和意識，另外有近半數的開源項目維護者不太做代碼的審計，只有10%的維護者能夠做到每個季度審核代碼。此外，開源軟件漏洞從發現到公布，再到修復的周期非常久。漏洞從公布到被修復的最長時間為94天，平均時間也有16天。

Terra發布Terra2.0空投細節，攻擊后快照預計于5月27日4:00左右進行:5月26日消息，Terra發布Terra2.0空投細節，攻擊前的快照時間為區塊高度7544910（北京時間5月7日22:59:37），攻擊后快照時間將在區塊高度7790000（北京時間5月27日3:59:51左右），攻擊前快照時持有LUNA（包括質押）或小于50萬枚aUST以及攻擊后快照時持有LUNC（包括質押）或UST的用戶可獲得新LUNA代幣空投。其中，攻擊前快照時的LUNA持有者中，持有量小于1萬枚的將立即釋放30%，而持有量大于1萬枚的用戶，空投將有1年的鎖定期。

Terra表示，預計的空投比率為攻擊前快照：1LUNC空投0.9477729517LUNA；攻擊后快照：1LUNC空投0.00001448496473LUNA、1UST空投0.01788054508LUNA。[2022/5/26 3:43:05]

美國近十年來最嚴重的一次數據泄露，是1.4億多位美國征信巨頭Equifax消費者的敏感數據被黑客所竊取，而這一數字占到美國人口的近一半。這起事件的源頭是因為Equifax使用的軟件中，有依賴于Struts框架的軟件。Struts框架是開源的MVC框架，該框架中存在著安全缺陷，該安全缺陷被黑客首先發現并利用這一安全缺陷盜取了數據。由此可以看出，開源軟件公開的代碼能夠獲得更多貢獻者幫助的同時，對于黑客來說，也是一個非常好的機會。

近期，在我們身邊也發生了非常嚴重的開源軟件安全問題。12月，LOG4J被爆出了安全漏洞，該安全漏洞不需要用戶執行多余操作即可被觸發，漏洞可以幫助攻擊者遠程控制受害者的服務器，當今90%以上的JAVA開發應用平臺都會受到影響。這個漏洞涉及的范圍及危害程度堪比2017年的“永恒之藍”漏洞。我相信大部分的技術公司可能在12月份都會抽出精力做這一漏洞的修復和彌補。

開源軟件風險防范共有四項：系統信息的泄露、密碼管理、資源注入和安全缺陷。其中，安全缺陷是最重要的一部分。之所以會有非常多的安全缺陷，一個是因為開源軟件貢獻者普遍來說安全意識還不夠高，另一個原因是開源軟件的貢獻者是用愛發電，所以確實沒有多余的預算對所編寫的編碼進行安全性測試。還有另外一個問題，開源軟件的安全漏洞雖然可以被社區中的其他貢獻者所發現以及上報，但是只有84%的安全漏洞出現在NVD中，很多安全漏洞散落在幾百個不同的資源中，這對三方開源軟件的使用者提出了非常高的要求，需要自己去收集以及對接，不然就很有可能對自己的軟件或平臺產生安全的風險。開源的代碼既可以被開源社區中的一些貢獻者看到，也可以被網絡犯罪分子或者黑客所利用，黑客可以發現代碼中的漏洞并利用漏洞進行攻擊。開源軟件因為引用方眾多，所以一旦攻擊了一個漏洞，影響范圍可能是非常大的。

除了安全缺陷外，許可證的違規使用也是一個比較大的問題。據統計，當前超過三成的項目并沒有嚴格遵守開源軟件的許可證使用方式。另外一個風險是開源軟件項目隨著時間的推移，迭代可能會變慢、變少，甚至中斷，有數據顯示有近九成的代碼庫中引用到的三方開源軟件，在過去兩年內沒有任何開發跡象，這除了增加安全的風險外，在版本控制中落后太遠也會有非常大的威脅，一些非常小的變更甚至都可能帶來一些基礎性的問題。

三

安全和可信治理

所以，開源軟件的風險治理成為使用開源軟件必不可少的工作之一。首先，要梳理、依賴以及分析，當前不少工具都可以幫助開源軟件的使用者輕松做到這些。梳理軟件物料清單時需要注意，除了第一次梳理，之后的每一次迭代都要維護清單、更新清單。大家可以根據迭代后的清單，找到當前不需要的依賴。我們發現開發人員在維護依賴的時候，即使發現不適用的依賴也會懶得刪除，這顯然會增大黑客的攻擊范圍，因此需要定期去檢查，并刪除不需要的依賴。漏洞源的對接相對來說會比較復雜一些，如剛才所提到的，并沒有唯一的對接源可以包含所有漏洞的報告。所幸當前已經有一些開源組織提供了一些免費的漏洞庫，對接幾大組織的漏洞庫之后，大部分情況下可以覆蓋當前市面上大部分的漏洞。最后，對比版本的依賴，以及發現問題、修復問題。

風險的治理貫穿于研發的生命周期，我個人建議把對于安全的把控左移到設計階段，在設計階段就引入安全人員，對于需要引用的開源軟件，除了做調研、對比選型、性能測試以及漏洞源數據對比外，還要關注該項目開源社區的活性，以及該項目相關的許可證。

安全風險的治理需左移，要求我們在設計的時候就對此加以關注。在設計階段，需要對新引用的三方依賴做調研、對比選型、使用驗證，甚至會安排性能測試，最終給出選型文檔、性能測試報告等等。尤其需要關注該開源項目的社區活性，對于社區活性較弱的開源項目，選擇使用的時候需要尤其謹慎。在設計階段，對于軟件物料清單的更新以及許可證的調研等等，都需要在這個階段加以考慮以及分析。同時，在之后的研發、測試、生產流程中，也是需要有一些手段確保開源軟件使用的安全性。

同樣，在之后的研發測試等環節中，也有需要執行相對操作來確保安全。開源軟件的安全治理在我們公司是在安全治理中非常重要的組成部分。我們公司安全平臺的框架中，項目漏洞追蹤、開源安全開發模塊都是為了幫助并確保引用開源軟件時避免安全缺陷。

四

開源與區塊鏈

區塊鏈是去中心化的，天然符合開源的理念。央行數字貨幣研究所副所長狄剛曾經說過：區塊鏈與開源是互相促進的，區塊鏈有了開源才能走得更遠。

為什么這么說呢？其實很簡單，區塊鏈的機制是不可篡改，由此減弱信息不對稱現象，從而建立信任。但這個不可篡改是建立在理論基礎上的，如果區塊鏈不開源，對使用者來說是個黑盒，即時的信任可信度是會被打折扣的。縱觀區塊鏈發展史我們知道，以太坊等都是通過開源來獲得信任，從而凝聚共識的。

另外，區塊鏈對于開源會有什么幫助呢？區塊鏈天然內置激勵，能夠解決開源社區的激勵不足問題。Gatecoin就是國外開源軟件開發激勵平臺，其愿景是通過區塊鏈支持各類開源項目，幫助不同規模的開源項目尋求資獲得資金的機會。此外，智能合約的自動執行，也能減少社區大規模協作的成本。

五

萬納鏈

接下來看一下萬納鏈作為聯盟鏈的開源項目，是如何保證其安全的。首先介紹一下萬納鏈，萬納鏈是萬向區塊鏈主導研發的安全可控的企業級聯盟鏈平臺，萬納鏈以系統安全、隱私保護、優越性能、功能豐富作為主要設計目標，致力于創建更快、更通用、更易用的區塊鏈底層平臺。底層區塊鏈平臺獲得電標院雙證，單鏈性能高達5萬TPS，支持WebAssembly、EVM雙虛擬機，支持DAG并行化處理，同時能夠提供可插拔的多種數據存儲機制，多種可選的共識算法，為聯盟鏈定制了網絡拓撲，同時支持跨鏈的功能。

萬納鏈對開源貢獻者提交代碼會進行自動化測試，部分核心代碼會設置比較嚴格的測試要求，另外會有專業的開發人員做體系化的聯合審計，以及會有專業的測試人員對提交的代碼進行功能測試。萬納鏈在開發整體流程中，設計了確保盡量減少代碼中的安全缺陷以及漏洞的流程。

來源：萬向區塊鏈

來源：金色財經

Tags：區塊鏈LUN比特幣數字貨幣區塊鏈的未來發展前景怎么樣lunr幣是什么幣比特幣騙局為什么不抓數字貨幣被騙最好的解決辦法

中幣交易所