全國政協委員周鴻祎：鼓勵第三方市場力量參與國內開源生態建設

　　“中國技術進步和數字化發展離不開開源軟體的貢獻，國內大量關鍵資訊基礎設施也使用了開源軟體。但是只要是人寫的軟體就一定有漏洞，開源軟體也存在漏洞風險，會影響到我國關鍵資訊基礎設施的安全。”2022年全國兩會召開在即，全國政協委員、360創始人周鴻祎對記者表示，今年的提案之一是聚焦開源軟體安全。

　　關注開源軟體安全問題並非否認開源，相反，周鴻祎非常認可開源，他表示，“我們需要有‘我為人人、人人為我’的開源精神。尤其當數字化規模越來越大，靠一家公司的幾千名工程師支撐一套大數據或者人工智慧體系難以為繼，必須通過開源，變成很多公司與自由工程師一起來支撐數字化。”

　　同時，為了關鍵資訊基礎設施的安全，周鴻祎也指出開源面臨三個方面的風險。一是，開源軟體廣泛使用、漏洞眾多，每個代碼庫約有158個漏洞；二是，開源軟體開發易被網路攻擊者惡意利用，防範管控困難。三是，國內開源軟體發展嚴重依賴國際開源平臺，面臨“受制於人”的困境。

　　事實上，去年的Log4j2事件已經引起業界對開源軟體安全的重視。2021年12月，Apache基金會開源項目的Log4j2組件被發現存在遠端代碼執行漏洞。由於該組件是一個被廣泛使用的開源工具，大量應用於關鍵業務系統的底層開發，因此該漏洞被業內稱為“核彈級”漏洞。對此，周鴻祎表示，Log4j2漏洞只是開源軟體漏洞的“冰山一角”，而類似Log4j2這樣的底層開源工具漏洞，則足以撼動我國關鍵資訊基礎設施的安全。

　　“如果開源軟體的安全隱患不解決，國內關鍵資訊基礎設施安全將是建立在沙灘上的城堡，面臨著‘平時被控、戰時被癱’的現實風險。”周鴻祎建議，要以關鍵資訊基礎設施保護為抓手，從以下三個方面加強我國開源軟體安全。

　　第一，加強對開源軟體的代碼審查，構建開源軟體生態的安全風險評估機制。對中國參與的開源軟體生態持續開展代碼漏洞安全審查，開展關鍵資訊基礎設施和重要資訊系統普查，摸清開源軟體使用情況“家底”，精確掌握其類型、協議、來源等基礎資訊，形成全量使用關係視圖，佈局安全風險管理。

　　第二，積極參與國際開源社區，提高話語權，建立影響力。從開源軟體的發展歷程來看，開源是實現技術迭代和長期發展的成功模式，也是全球軟體業發展的趨勢。鋻於當前國內軟體開發實力尚不足以達到國際水準的現實，國內軟體業應該積極參與國際開源社區互動，在學習和發展中，在既有規則內，不斷提高話語權，建立影響力。不宜採取“禁止或控制開源軟體使用”的做法，這樣做無異於因噎廢食，反而不利於我國軟體開發産業的發展。

　　第三，鼓勵第三方市場力量參與國內開源生態建設，推進開源自主，儘快掌控開源軟體資源應用的主動權。建議在網信、工信部門的主持下，明確開源軟體的安全責任，建立監管方、軟體供應方、軟體使用方、網路安全服務力量多方共治協調機制。統籌佈局，以靈活的機制加大對國內開源社區的投入，鼓勵第三方市場力量參與、加快培育我國開源社區、開源基金會、開源協議和開源項目，從源頭強化供給。

　　開源軟體安全對我國關鍵資訊基礎設施安全至關重要。作為數字安全行業的委員，周鴻祎今年兩會提案有望引發更多政府機構和企業對開源軟體安全的重視，夯實數字化底座，為數字文明時代保駕護航。