- 超九成企業(yè)使用開源技術(shù) 風(fēng)險(xiǎn)防范措施亟待加強(qiáng)
- 2023年07月19日 來(lái)源:證券日?qǐng)?bào)
提要:7月18日,在由中國(guó)信息通信研究院和中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)合辦的“2023中國(guó)互聯(lián)網(wǎng)大會(huì)開源供應(yīng)鏈論壇”上,中國(guó)信通院副總工程師許志遠(yuǎn)表示,要關(guān)注開源供應(yīng)鏈風(fēng)險(xiǎn),因?yàn)殚_源供應(yīng)鏈技術(shù)比較復(fù)雜,開源代碼引入不清,監(jiān)控不足,導(dǎo)致開源代碼中安全問題屢屢出現(xiàn),樹立開源供應(yīng)鏈風(fēng)險(xiǎn)意識(shí)、加強(qiáng)開源供應(yīng)鏈安全治理,是推動(dòng)我國(guó)開源供應(yīng)鏈良性發(fā)展的有效手段。
當(dāng)前,企業(yè)使用開源代碼構(gòu)建軟件產(chǎn)品已成為主流趨勢(shì),但開源代碼中的安全問題屢屢出現(xiàn)。
7月18日,在由中國(guó)信息通信研究院和中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)合辦的“2023中國(guó)互聯(lián)網(wǎng)大會(huì)開源供應(yīng)鏈論壇”上,中國(guó)信通院副總工程師許志遠(yuǎn)表示,要關(guān)注開源供應(yīng)鏈風(fēng)險(xiǎn),因?yàn)殚_源供應(yīng)鏈技術(shù)比較復(fù)雜,開源代碼引入不清,監(jiān)控不足,導(dǎo)致開源代碼中安全問題屢屢出現(xiàn),樹立開源供應(yīng)鏈風(fēng)險(xiǎn)意識(shí)、加強(qiáng)開源供應(yīng)鏈安全治理,是推動(dòng)我國(guó)開源供應(yīng)鏈良性發(fā)展的有效手段。“我國(guó)企業(yè)逐步關(guān)注開源供應(yīng)鏈的安全風(fēng)險(xiǎn)治理,如金融、汽車、云服務(wù)商和軟件等行業(yè)以及涉及海外業(yè)務(wù)的企業(yè),對(duì)開源供應(yīng)鏈安全的治理關(guān)注度比較高,國(guó)內(nèi)企業(yè)也在積極探索開源供應(yīng)鏈的安全治理新模式。”
同時(shí)許志遠(yuǎn)介紹,我國(guó)開源市場(chǎng)在持續(xù)穩(wěn)定增長(zhǎng),根據(jù)中國(guó)信通院調(diào)查數(shù)據(jù)顯示,我國(guó)目前超過九成企業(yè)已經(jīng)使用開源技術(shù),其中金融、通信等行業(yè)的開源組件使用企業(yè)超過數(shù)千個(gè),云計(jì)算、大數(shù)據(jù)開源的應(yīng)用率超過40%,我國(guó)使用開源技術(shù)越來(lái)越高,使開源技術(shù)成為主流。
開源以開放、平等、協(xié)作、共享為理念,集眾智、采眾長(zhǎng),加速產(chǎn)業(yè)迭代的升級(jí),促進(jìn)產(chǎn)業(yè)協(xié)同創(chuàng)新,也推動(dòng)了產(chǎn)業(yè)生態(tài)的完善,已成為全球產(chǎn)業(yè)技術(shù)和全球產(chǎn)業(yè)創(chuàng)新的主導(dǎo)模式,我國(guó)也在積極探索開源生態(tài)的建設(shè)。
在開源政策方面,我國(guó)開源的相關(guān)政策近年來(lái)陸續(xù)出臺(tái),“十四五”規(guī)劃和《2035遠(yuǎn)景目標(biāo)綱要》明確提到“開源”,2021年12月份工業(yè)和信息化部發(fā)布的《“十四五”軟件和信息技術(shù)服務(wù)業(yè)發(fā)展規(guī)劃》中也明確提出,繁榮開源軟件,完善公共服務(wù),優(yōu)化產(chǎn)業(yè)生態(tài)。
中國(guó)信通院云大所副所長(zhǎng)栗蔚表示,開源是開放的無(wú)邊界的新型的協(xié)作模式,基于這種模式,在數(shù)字科技創(chuàng)新、產(chǎn)業(yè)開放、經(jīng)濟(jì)共享、全球協(xié)作等方面都可以受益。開源應(yīng)用廣泛的現(xiàn)狀下也面臨諸多開源安全問題,主要分為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)和供應(yīng)鏈風(fēng)險(xiǎn)。
“治理開源風(fēng)險(xiǎn),需要政策和標(biāo)準(zhǔn)來(lái)保障開源安全,舉例來(lái)看,歐盟有FOSSA項(xiàng)目進(jìn)行開源漏洞的挖掘,美國(guó)有開放軟件代碼測(cè)試計(jì)劃,英國(guó)有開放代碼安全注意事項(xiàng)指南,可以對(duì)開源安全進(jìn)行評(píng)價(jià)。”栗蔚說(shuō)。
我國(guó)也推出了相關(guān)開源的政策和標(biāo)準(zhǔn),如2021年金融行業(yè)《關(guān)于金融行業(yè)規(guī)范和發(fā)展開源使用》就對(duì)金融機(jī)構(gòu)開源應(yīng)急潛在漏洞、閉源、停服等風(fēng)險(xiǎn)做出規(guī)范。《“十四五”軟件和信息技術(shù)服務(wù)發(fā)展規(guī)劃》里也提到了在開源安全、開源生態(tài)方面的要求。“各國(guó)和組織都在從標(biāo)準(zhǔn)和政策等方面規(guī)范開源風(fēng)險(xiǎn),持續(xù)完善軟件產(chǎn)品中開源代碼風(fēng)險(xiǎn)治理標(biāo)準(zhǔn)。”栗蔚表示。
