周鸿祎建议:加强对开源软件的代码审查

2022 年 3 月 4 日 CCF计算机安全专委会

“中国技术进步和数字化发展离不开开源软件的贡献,国内大量关键信息基础设施也使用了开源软件。但是只要是人写的软件就一定有漏洞,开源软件也存在漏洞风险,会影响到我国关键信息基础设施的安全。”全国政协委员、360集团创始人、中国计算机学会计算机安全专业委员会副主任周鸿祎对记者表示,今年的提案之一是聚焦开源软件安全。

关注开源软件安全问题并非否认开源,相反,周鸿祎非常认可开源,他表示,“我们需要有‘我为人人、人人为我’的开源精神。尤其当数字化规模越来越大,靠一家公司的几千名工程师支撑一套大数据或者人工智能体系难以为继,必须通过开源,变成很多公司与自由工程师一起来支撑数字化。”

同时,为了关键信息基础设施的安全,周鸿祎也指出开源面临三个方面的风险。一是,开源软件广泛使用、漏洞众多,每个代码库约有158个漏洞;二是,开源软件开发易被网络攻击者恶意利用,防范管控困难。三是,国内开源软件发展严重依赖国际开源平台,面临“受制于人”的困境。

事实上,去年的Log4j2事件已经引起业界对开源软件安全的重视。2021年12月,Apache基金会开源项目的Log4j2组件被发现存在远程代码执行漏洞。由于该组件是一个被广泛使用的开源工具,大量应用于关键业务系统的底层开发,因此该漏洞被业内称为“核弹级”漏洞。对此,周鸿祎表示,Log4j2漏洞只是开源软件漏洞的“冰山一角”,而类似Log4j2这样的底层开源工具漏洞,则足以撼动我国关键信息基础设施的安全。

“如果开源软件的安全隐患不解决,国内关键信息基础设施安全将是建立在沙滩上的城堡,面临着‘平时被控、战时被瘫’的现实风险。”周鸿祎建议,要以关键信息基础设施保护为抓手,从以下三个方面加强我国开源软件安全。

第一,加强对开源软件的代码审查,构建开源软件生态的安全风险评估机制。对中国参与的开源软件生态持续开展代码漏洞安全审查,开展关键信息基础设施和重要信息系统普查,摸清开源软件使用情况“家底”,精确掌握其类型、协议、来源等基础信息,形成全量使用关系视图,布局安全风险管理。

第二,积极参与国际开源社区,提高话语权,建立影响力。从开源软件的发展历程来看,开源是实现技术迭代和长期发展的成功模式,也是全球软件业发展的趋势。鉴于当前国内软件开发实力尚不足以达到国际水平的现实,国内软件业应该积极参与国际开源社区互动,在学习和发展中,在既有规则内,不断提高话语权,建立影响力。不宜采取“禁止或控制开源软件使用”的做法,这样做无异于因噎废食,反而不利于我国软件开发产业的发展。

第三,鼓励第三方市场力量参与国内开源生态建设,推进开源自主,尽快掌控开源软件资源应用的主动权。建议在网信、工信部门的主持下,明确开源软件的安全责任,建立监管方、软件供应方、软件使用方、网络安全服务力量多方共治协调机制。统筹布局,以灵活的机制加大对国内开源社区的投入,鼓励第三方市场力量参与、加快培育我国开源社区、开源基金会、开源协议和开源项目,从源头强化供给。

开源软件安全对我国关键信息基础设施安全至关重要。作为数字安全行业的委员,周鸿祎今年两会提案有望引发更多政府机构和企业对开源软件安全的重视,夯实数字化底座,为数字文明时代保驾护航。

登录查看更多
0

相关内容

湖北黄冈人。1995年毕业于西安交通大学管理学院系统工程系,获硕士学位。 1998年10月,他创建 3721公司,其公司业务覆盖了当时90%以上的中国互联网用户。2003年11月,雅虎公司正式收购 3721,他也随即出任雅虎中国区总裁。
2006年,他出任奇虎360公司董事长,并担任至今。
在他任期,360实现了杀毒领域的免费运营。
北约《军事系统的网络安全风险评估》技术报告
专知会员服务
98+阅读 · 2022年4月18日
央行发布《金融大数据术语》,25页pdf
专知会员服务
41+阅读 · 2022年1月25日
移动互联网应用程序(APP)个人信息保护治理白皮书
专知会员服务
20+阅读 · 2021年11月24日
专知会员服务
57+阅读 · 2021年9月23日
专知会员服务
40+阅读 · 2021年9月6日
专知会员服务
48+阅读 · 2021年7月14日
专知会员服务
59+阅读 · 2021年7月5日
专知会员服务
35+阅读 · 2021年6月12日
深度学习赋能的恶意代码攻防研究进展
专知会员服务
29+阅读 · 2021年4月11日
【大数据白皮书 2019】中国信息通信研究院
专知会员服务
137+阅读 · 2019年12月12日
肖新光建议:加强IT供应链网络安全能力
CCF计算机安全专委会
1+阅读 · 2022年3月7日
肖新光建议:加速推进软件安全工程相关工作
CCF计算机安全专委会
1+阅读 · 2022年3月7日
周鸿祎建议:鼓励帮扶中小微企业构建数字安全能力
CCF计算机安全专委会
0+阅读 · 2022年3月4日
周鸿祎建议:建设“数字空间碰撞测试”长效机制
CCF计算机安全专委会
0+阅读 · 2022年3月4日
使用开源 = 富贵险中求?你怎么看?
CSDN
0+阅读 · 2022年3月2日
意大利法院认可 GPL 开源协议的法律效力
Log4j 持续爆雷,啥时候是个头?
AI前线
0+阅读 · 2021年12月25日
国家自然科学基金
1+阅读 · 2014年12月31日
国家自然科学基金
3+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
3+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
Arxiv
31+阅读 · 2021年6月30日
Arxiv
31+阅读 · 2018年11月13日
VIP会员
相关VIP内容
北约《军事系统的网络安全风险评估》技术报告
专知会员服务
98+阅读 · 2022年4月18日
央行发布《金融大数据术语》,25页pdf
专知会员服务
41+阅读 · 2022年1月25日
移动互联网应用程序(APP)个人信息保护治理白皮书
专知会员服务
20+阅读 · 2021年11月24日
专知会员服务
57+阅读 · 2021年9月23日
专知会员服务
40+阅读 · 2021年9月6日
专知会员服务
48+阅读 · 2021年7月14日
专知会员服务
59+阅读 · 2021年7月5日
专知会员服务
35+阅读 · 2021年6月12日
深度学习赋能的恶意代码攻防研究进展
专知会员服务
29+阅读 · 2021年4月11日
【大数据白皮书 2019】中国信息通信研究院
专知会员服务
137+阅读 · 2019年12月12日
相关资讯
肖新光建议:加强IT供应链网络安全能力
CCF计算机安全专委会
1+阅读 · 2022年3月7日
肖新光建议:加速推进软件安全工程相关工作
CCF计算机安全专委会
1+阅读 · 2022年3月7日
周鸿祎建议:鼓励帮扶中小微企业构建数字安全能力
CCF计算机安全专委会
0+阅读 · 2022年3月4日
周鸿祎建议:建设“数字空间碰撞测试”长效机制
CCF计算机安全专委会
0+阅读 · 2022年3月4日
使用开源 = 富贵险中求?你怎么看?
CSDN
0+阅读 · 2022年3月2日
意大利法院认可 GPL 开源协议的法律效力
Log4j 持续爆雷,啥时候是个头?
AI前线
0+阅读 · 2021年12月25日
相关基金
国家自然科学基金
1+阅读 · 2014年12月31日
国家自然科学基金
3+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
3+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
Top
微信扫码咨询专知VIP会员