企业动态

    11月9日下午，2022世界互联网大会在乌镇召开，在“共享开源技术，共建开放生态”为主题的开源技术生态创新发展论坛上，聚集了国内外行业顶尖专家及学者。在专题研讨环节，奇安信集团首席战略官、副总裁刘勇从安全厂商角度，分享了目前开源生态发展面临的机遇、挑战，与奇安信的应对策略。

    我国开源软件生态正在蓬勃发展

    随着数字经济的发展，国家愈发重视开源产业及生态的建设。国际上，前不久美国首次认定为公共数字基础设施，并计划将立法保护开源软件。刘勇认为，目前无论从需求侧还是从供给侧来讲，开源技术已经遇到了一个蓬勃发展的机遇，目前发展有三个增大态势。

    对开源需求增大。中国数字化转型、丰富的应用场景势必带来软件应用的开发以及开源发展，利好需求侧。

    供给和人才队伍、产业规模在增大。数据显示，开源人才在Github注册开发者上超过800万，中国软件产业规模也位居全球第二，我们开发队伍的规模也是全球第二，利好供给侧。

    政策支持力度逐渐增大。“十四五”规划中首次提到了开源，在国务院发布的《知识产权强国建设纲要（2010-2035年）》中明确提出要推动开源合规发展，在《工信部“十四五”软件和信息技术服务业发展规划》中提出要繁荣国内的开源生态，在其他行业部门，包括人民银行联合五部门也发布了《关于规范金融业开源技术应用与发展的意见》等一系列政策出台对软件生态体系建设都是极大的利好。

    开源软件面临四大安全挑战

    软件供应链管理公司Sonatype最近发布的调研报告显示，过去一年，涉恶意第三方组件的供应链攻击事件增长了633%，已知三分之二的开源库都曾遭受攻击。

    作为公共数字基础设施，刘勇认为，开源软件的安全威胁可归类于以下四种场景：

    首先，多数企业对开源软件漏洞不修补。由于多数企业缺少对安全漏洞修补能力，在奇安信2021年分析3354个软件项目中，平均每个项目使用了127个开源软件，存在已知的开源软件漏洞的项目占到86.4%，平均每个项目存在69个已知软件漏洞无疑会造成巨大安全漏洞。

    其次，开源软件活跃度与更新频率低，不更新，使安全漏洞难以得到及时修复。据数据统计，2021年，主流开源软件包生态系统中不活跃的开源软件项目数量为307万多个，占比达到69.9%。

    与此同时，对开源软件的漏洞不检查。在奇安信代码卫士所调研追踪的1068款关键基础开源软件中，有711款从未公开披露过漏洞，占比高达66.6%，造成巨大安全风险。

    此外，开源软件版本混乱无保障。虽然目前很多机构和企业开始关注开源软件供应链安全，但仅有少数的机构和企业使用相关的开源安全治理工具。其中，开源软件版本老旧与各版本使用混乱是开源软件安全得不到保障的重要因素。

    从四方面推进开源生态发展

    开源技术正在逐渐成为重点行业信息系统搭建、产品实现的重要基石。目前，奇安信在四大方面发力，推进开源生态安全平稳发展：

    奇安信将向中小企业提供开源软件的检测服务。2020年，国家发展改革委联合145家单位共同启动了“数字化转型伙伴行动”，作为行动的首批倡议单位之一，奇安信将陆续从数据开放共享与交换、源代码静态分析等方面确保开源软件安全，助力和赋能中小企业的健康发展。

    从合作赋能方面，奇安信联合业内合作伙伴，实施“开源项目检测计划”“补天安全虎符卫士计划”，从国内软件供应链的安全状况与漏洞修复、回检等方面持续推进行业生态健康积极发展，赋能用户及各行实体，打造安全的开源生态。

    从实践方面，奇安信在开源软件安全检测方面的技术已达国际水平，在2022年北京冬奥会期间，奇安信网神开源卫士系统针对冬奥组委会信息技术网络（OIN）及赛事场馆中所包含的软硬件设备及业务信息系统开展开源软件安全检测服务，共计发现640个安全漏洞，形成10份应用分析报告，提供具体解决方案，高效协助有关人员迅速定位并修复开源软件漏洞，有力支撑北京冬奥会网络安全“零事故”目标达成。

    从保障行业角度，助力重点行业和关基在内的安全保障。其中，对安全能力要求较高的金融行业是开源治理企业的主要聚集领域。奇安信网神开源卫士系统在工商银行、建设银行、邮储银行、光大银行、中信银行、中国石油、中国人寿、中国国航、南方航空等多家机构中取得了应用，帮助企业降低使用开源软件带来的风险，保障企业交付更安全的软件。

    未来，奇安信推进三个融入计划：

    一是融入到中国电子自主安全框架体系，助力自主安全计算体系的发展；

    二是融入到开放原子开源基金整体的开源社区生态中，助力中国开源社区提供更安全更好的服务；

    三是融入到科学院的科技基础设施建设包括软件所发布的软件平台，从国内顶尖安全厂商角度贡献奇安信的一份力量。