“中國(guó)技術(shù)進(jìn)步和數(shù)字化發(fā)展離不開開源軟件的貢獻(xiàn)，國(guó)內(nèi)大量關(guān)鍵信息基礎(chǔ)設(shè)施也使用了開源軟件。但是只要是人寫的軟件就一定有漏洞，開源軟件也存在漏洞風(fēng)險(xiǎn)，會(huì)影響到我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施的安全?！?022年全國(guó)兩會(huì)召開在即，全國(guó)政協(xié)委員、360創(chuàng)始人周鴻祎對(duì)記者表示，今年的提案之一是聚焦開源軟件安全。

關(guān)注開源軟件安全問題并非否認(rèn)開源，相反，周鴻祎非常認(rèn)可開源，他表示，“我們需要有‘我為人人、人人為我’的開源精神。尤其當(dāng)數(shù)字化規(guī)模越來越大，靠一家公司的幾千名工程師支撐一套大數(shù)據(jù)或者人工智能體系難以為繼，必須通過開源，變成很多公司與自由工程師一起來支撐數(shù)字化?！?/p>

同時(shí)，為了關(guān)鍵信息基礎(chǔ)設(shè)施的安全，周鴻祎也指出開源面臨三個(gè)方面的風(fēng)險(xiǎn)。一是，開源軟件廣泛使用、漏洞眾多，每個(gè)代碼庫約有158個(gè)漏洞；二是，開源軟件開發(fā)易被網(wǎng)絡(luò)攻擊者惡意利用，防范管控困難。三是，國(guó)內(nèi)開源軟件發(fā)展嚴(yán)重依賴國(guó)際開源平臺(tái)，面臨“受制于人”的困境。

事實(shí)上，去年的Log4j2事件已經(jīng)引起業(yè)界對(duì)開源軟件安全的重視。2021年12月，Apache基金會(huì)開源項(xiàng)目的Log4j2組件被發(fā)現(xiàn)存在遠(yuǎn)程代碼執(zhí)行漏洞。由于該組件是一個(gè)被廣泛使用的開源工具，大量應(yīng)用于關(guān)鍵業(yè)務(wù)系統(tǒng)的底層開發(fā)，因此該漏洞被業(yè)內(nèi)稱為“核彈級(jí)”漏洞。對(duì)此，周鴻祎表示，Log4j2漏洞只是開源軟件漏洞的“冰山一角”，而類似Log4j2這樣的底層開源工具漏洞，則足以撼動(dòng)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施的安全。

“如果開源軟件的安全隱患不解決，國(guó)內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施安全將是建立在沙灘上的城堡，面臨著‘平時(shí)被控、戰(zhàn)時(shí)被癱’的現(xiàn)實(shí)風(fēng)險(xiǎn)?！敝茗櫟t建議，要以關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)為抓手，從以下三個(gè)方面加強(qiáng)我國(guó)開源軟件安全。

第一，加強(qiáng)對(duì)開源軟件的代碼審查，構(gòu)建開源軟件生態(tài)的安全風(fēng)險(xiǎn)評(píng)估機(jī)制。對(duì)中國(guó)參與的開源軟件生態(tài)持續(xù)開展代碼漏洞安全審查，開展關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)普查，摸清開源軟件使用情況“家底”，精確掌握其類型、協(xié)議、來源等基礎(chǔ)信息，形成全量使用關(guān)系視圖，布局安全風(fēng)險(xiǎn)管理。

第二，積極參與國(guó)際開源社區(qū)，提高話語權(quán)，建立影響力。從開源軟件的發(fā)展歷程來看，開源是實(shí)現(xiàn)技術(shù)迭代和長(zhǎng)期發(fā)展的成功模式，也是全球軟件業(yè)發(fā)展的趨勢(shì)。鑒于當(dāng)前國(guó)內(nèi)軟件開發(fā)實(shí)力尚不足以達(dá)到國(guó)際水平的現(xiàn)實(shí)，國(guó)內(nèi)軟件業(yè)應(yīng)該積極參與國(guó)際開源社區(qū)互動(dòng)，在學(xué)習(xí)和發(fā)展中，在既有規(guī)則內(nèi)，不斷提高話語權(quán)，建立影響力。不宜采取“禁止或控制開源軟件使用”的做法，這樣做無異于因噎廢食，反而不利于我國(guó)軟件開發(fā)產(chǎn)業(yè)的發(fā)展。

第三，鼓勵(lì)第三方市場(chǎng)力量參與國(guó)內(nèi)開源生態(tài)建設(shè)，推進(jìn)開源自主，盡快掌控開源軟件資源應(yīng)用的主動(dòng)權(quán)。建議在網(wǎng)信、工信部門的主持下，明確開源軟件的安全責(zé)任，建立監(jiān)管方、軟件供應(yīng)方、軟件使用方、網(wǎng)絡(luò)安全服務(wù)力量多方共治協(xié)調(diào)機(jī)制。統(tǒng)籌布局，以靈活的機(jī)制加大對(duì)國(guó)內(nèi)開源社區(qū)的投入，鼓勵(lì)第三方市場(chǎng)力量參與、加快培育我國(guó)開源社區(qū)、開源基金會(huì)、開源協(xié)議和開源項(xiàng)目，從源頭強(qiáng)化供給。

開源軟件安全對(duì)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全至關(guān)重要。作為數(shù)字安全行業(yè)的委員，周鴻祎今年兩會(huì)提案有望引發(fā)更多政府機(jī)構(gòu)和企業(yè)對(duì)開源軟件安全的重視，夯實(shí)數(shù)字化底座，為數(shù)字文明時(shí)代保駕護(hù)航。

?