“中國技術進步和數(shù)字化發(fā)展離不開開源軟件的貢獻，國內(nèi)大量關鍵信息基礎設施也使用了開源軟件。但是只要是人寫的軟件就一定有漏洞，開源軟件也存在漏洞風險，會影響到我國關鍵信息基礎設施的安全?！?022年全國兩會召開在即，全國政協(xié)委員、360創(chuàng)始人周鴻祎對記者表示，今年的提案之一是聚焦開源軟件安全。

關注開源軟件安全問題并非否認開源，相反，周鴻祎非常認可開源，他表示，“我們需要有‘我為人人、人人為我’的開源精神。尤其當數(shù)字化規(guī)模越來越大，靠一家公司的幾千名工程師支撐一套大數(shù)據(jù)或者人工智能體系難以為繼，必須通過開源，變成很多公司與自由工程師一起來支撐數(shù)字化?！?/p>

同時，為了關鍵信息基礎設施的安全，周鴻祎也指出開源面臨三個方面的風險。一是，開源軟件廣泛使用、漏洞眾多，每個代碼庫約有158個漏洞；二是，開源軟件開發(fā)易被網(wǎng)絡攻擊者惡意利用，防范管控困難。三是，國內(nèi)開源軟件發(fā)展嚴重依賴國際開源平臺，面臨“受制于人”的困境。

事實上，去年的Log4j2事件已經(jīng)引起業(yè)界對開源軟件安全的重視。2021年12月，Apache基金會開源項目的Log4j2組件被發(fā)現(xiàn)存在遠程代碼執(zhí)行漏洞。由于該組件是一個被廣泛使用的開源工具，大量應用于關鍵業(yè)務系統(tǒng)的底層開發(fā)，因此該漏洞被業(yè)內(nèi)稱為“核彈級”漏洞。對此，周鴻祎表示，Log4j2漏洞只是開源軟件漏洞的“冰山一角”，而類似Log4j2這樣的底層開源工具漏洞，則足以撼動我國關鍵信息基礎設施的安全。

“如果開源軟件的安全隱患不解決，國內(nèi)關鍵信息基礎設施安全將是建立在沙灘上的城堡，面臨著‘平時被控、戰(zhàn)時被癱’的現(xiàn)實風險?！敝茗櫟t建議，要以關鍵信息基礎設施保護為抓手，從以下三個方面加強我國開源軟件安全。

第一，加強對開源軟件的代碼審查，構建開源軟件生態(tài)的安全風險評估機制。對中國參與的開源軟件生態(tài)持續(xù)開展代碼漏洞安全審查，開展關鍵信息基礎設施和重要信息系統(tǒng)普查，摸清開源軟件使用情況“家底”，精確掌握其類型、協(xié)議、來源等基礎信息，形成全量使用關系視圖，布局安全風險管理。

第二，積極參與國際開源社區(qū)，提高話語權，建立影響力。從開源軟件的發(fā)展歷程來看，開源是實現(xiàn)技術迭代和長期發(fā)展的成功模式，也是全球軟件業(yè)發(fā)展的趨勢。鑒于當前國內(nèi)軟件開發(fā)實力尚不足以達到國際水平的現(xiàn)實，國內(nèi)軟件業(yè)應該積極參與國際開源社區(qū)互動，在學習和發(fā)展中，在既有規(guī)則內(nèi)，不斷提高話語權，建立影響力。不宜采取“禁止或控制開源軟件使用”的做法，這樣做無異于因噎廢食，反而不利于我國軟件開發(fā)產(chǎn)業(yè)的發(fā)展。

第三，鼓勵第三方市場力量參與國內(nèi)開源生態(tài)建設，推進開源自主，盡快掌控開源軟件資源應用的主動權。建議在網(wǎng)信、工信部門的主持下，明確開源軟件的安全責任，建立監(jiān)管方、軟件供應方、軟件使用方、網(wǎng)絡安全服務力量多方共治協(xié)調(diào)機制。統(tǒng)籌布局，以靈活的機制加大對國內(nèi)開源社區(qū)的投入，鼓勵第三方市場力量參與、加快培育我國開源社區(qū)、開源基金會、開源協(xié)議和開源項目，從源頭強化供給。

開源軟件安全對我國關鍵信息基礎設施安全至關重要。作為數(shù)字安全行業(yè)的委員，周鴻祎今年兩會提案有望引發(fā)更多政府機構和企業(yè)對開源軟件安全的重視，夯實數(shù)字化底座，為數(shù)字文明時代保駕護航。

?