“中国技术进步和数字化发展离不开开源软件的贡献,国内大量关键信息基础设施也使用了开源软件。但是只要是人写的软件就一定有漏洞,开源软件也存在漏洞风险,会影响到我国关键信息基础设施的安全。”2022年全国两会召开在即,全国政协委员、360创始人周鸿祎表示,今年的提案之一是聚焦开源软件安全。
关注开源软件安全问题并非否认开源,相反,周鸿祎非常认可开源,他表示,“我们需要有‘我为人人、人人为我’的开源精神。尤其当数字化规模越来越大,靠一家公司的几千名工程师支撑一套大数据或者人工智能体系难以为继,必须通过开源,变成很多公司与自由工程师一起来支撑数字化。”
同时,为了关键信息基础设施的安全,周鸿祎也指出开源面临三个方面的风险。一是,开源软件广泛使用、漏洞众多,每个代码库约有158个漏洞;二是,开源软件开发易被网络攻击者恶意利用,防范管控困难。三是,国内开源软件发展严重依赖国际开源平台,面临“受制于人”的困境。
事实上,去年的Log4j2事件已经引起业界对开源软件安全的重视。2021年12月,Apache基金会开源项目的Log4j2组件被发现存在远程代码执行漏洞。由于该组件是一个被广泛使用的开源工具,大量应用于关键业务系统的底层开发,因此该漏洞被业内称为“核弹级”漏洞。对此,周鸿祎表示,Log4j2漏洞只是开源软件漏洞的“冰山一角”,而类似Log4j2这样的底层开源工具漏洞,则足以撼动我国关键信息基础设施的安全。
“如果开源软件的安全隐患不解决,国内关键信息基础设施安全将是建立在沙滩上的城堡,面临着‘平时被控、战时被瘫’的现实风险。”周鸿祎建议,要以关键信息基础设施保护为抓手,从以下三个方面加强我国开源软件安全。
第一,加强对开源软件的代码审查,构建开源软件生态的安全风险评估机制。对中国参与的开源软件生态持续开展代码漏洞安全审查,开展关键信息基础设施和重要信息系统普查,摸清开源软件使用情况“家底”,精确掌握其类型、协议、来源等基础信息,形成全量使用关系视图,布局安全风险管理。
第二,积极参与国际开源社区,提高话语权,建立影响力。从开源软件的发展历程来看,开源是实现技术迭代和长期发展的成功模式,也是全球软件业发展的趋势。鉴于当前国内软件开发实力尚不足以达到国际水平的现实,国内软件业应该积极参与国际开源社区互动,在学习和发展中,在既有规则内,不断提高话语权,建立影响力。不宜采取“禁止或控制开源软件使用”的做法,这样做无异于因噎废食,反而不利于我国软件开发产业的发展。
第三,鼓励第三方市场力量参与国内开源生态建设,推进开源自主,尽快掌控开源软件资源应用的主动权。建议在网信、工信部门的主持下,明确开源软件的安全责任,建立监管方、软件供应方、软件使用方、网络安全服务力量多方共治协调机制。统筹布局,以灵活的机制加大对国内开源社区的投入,鼓励第三方市场力量参与、加快培育我国开源社区、开源基金会、开源协议和开源项目,从源头强化供给。
开源软件安全对我国关键信息基础设施安全至关重要。作为数字安全行业的委员,周鸿祎今年两会提案有望引发更多政府机构和企业对开源软件安全的重视,夯实数字化底座,为数字文明时代保驾护航。
关键词: