“中國技術進步和數字化發展離不開開源軟件的貢獻,國內大量關鍵信息基礎設施也使用了開源軟件。但是只要是人寫的軟件就一定有漏洞,開源軟件也存在漏洞風險,會影響到我國關鍵信息基礎設施的安全。”2022年全國兩會召開在即,全國政協委員、360創始人周鴻祎對記者表示,今年的提案之一是聚焦開源軟件安全。
關注開源軟件安全問題并非否認開源,相反,周鴻祎非常認可開源,他表示,“我們需要有‘我為人人、人人為我’的開源精神。尤其當數字化規模越來越大,靠一家公司的幾千名工程師支撐一套大數據或者人工智能體系難以為繼,必須通過開源,變成很多公司與自由工程師一起來支撐數字化。”
同時,為了關鍵信息基礎設施的安全,周鴻祎也指出開源面臨三個方面的風險。一是,開源軟件廣泛使用、漏洞眾多,每個代碼庫約有158個漏洞;二是,開源軟件開發易被網絡攻擊者惡意利用,防范管控困難。三是,國內開源軟件發展嚴重依賴國際開源平臺,面臨“受制于人”的困境。
事實上,去年的Log4j2事件已經引起業界對開源軟件安全的重視。2021年12月,Apache基金會開源項目的Log4j2組件被發現存在遠程代碼執行漏洞。由于該組件是一個被廣泛使用的開源工具,大量應用于關鍵業務系統的底層開發,因此該漏洞被業內稱為“核彈級”漏洞。對此,周鴻祎表示,Log4j2漏洞只是開源軟件漏洞的“冰山一角”,而類似Log4j2這樣的底層開源工具漏洞,則足以撼動我國關鍵信息基礎設施的安全。
“如果開源軟件的安全隱患不解決,國內關鍵信息基礎設施安全將是建立在沙灘上的城堡,面臨著‘平時被控、戰時被癱’的現實風險。”周鴻祎建議,要以關鍵信息基礎設施保護為抓手,從以下三個方面加強我國開源軟件安全。
第一,加強對開源軟件的代碼審查,構建開源軟件生態的安全風險評估機制。對中國參與的開源軟件生態持續開展代碼漏洞安全審查,開展關鍵信息基礎設施和重要信息系統普查,摸清開源軟件使用情況“家底”,精確掌握其類型、協議、來源等基礎信息,形成全量使用關系視圖,布局安全風險管理。
第二,積極參與國際開源社區,提高話語權,建立影響力。從開源軟件的發展歷程來看,開源是實現技術迭代和長期發展的成功模式,也是全球軟件業發展的趨勢。鑒于當前國內軟件開發實力尚不足以達到國際水平的現實,國內軟件業應該積極參與國際開源社區互動,在學習和發展中,在既有規則內,不斷提高話語權,建立影響力。不宜采取“禁止或控制開源軟件使用”的做法,這樣做無異于因噎廢食,反而不利于我國軟件開發產業的發展。
第三,鼓勵第三方市場力量參與國內開源生態建設,推進開源自主,盡快掌控開源軟件資源應用的主動權。建議在網信、工信部門的主持下,明確開源軟件的安全責任,建立監管方、軟件供應方、軟件使用方、網絡安全服務力量多方共治協調機制。統籌布局,以靈活的機制加大對國內開源社區的投入,鼓勵第三方市場力量參與、加快培育我國開源社區、開源基金會、開源協議和開源項目,從源頭強化供給。
開源軟件安全對我國關鍵信息基礎設施安全至關重要。作為數字安全行業的委員,周鴻祎今年兩會提案有望引發更多政府機構和企業對開源軟件安全的重視,夯實數字化底座,為數字文明時代保駕護航。
責任編輯:Rex_08
營業執照公示信息