“中国技术进步和数字化发展离不开开源软件的贡献,国内大量关键信息基础设施也使用了开源软件。但是只要是人写的软件就一定有漏洞,开源软件也存在漏洞风险,会影响到我国关键信息基础设施的安全。”2022年全国两会召开在即,全国政协委员、360创始人周鸿祎对记者表示,今年的提案之一是聚焦开源软件安全。
关注开源软件安全问题并非否认开源,相反,周鸿祎非常认可开源,他表示,“我们需要有‘我为人人、人人为我’的开源精神。尤其当数字化规模越来越大,靠一家公司的几千名工程师支撑一套大数据或者人工智能体系难以为继,必须通过开源,变成很多公司与自由工程师一起来支撑数字化。”
同时,为了关键信息基础设施的安全,周鸿祎也指出开源面临两个方面的风险。一是,开源软件客观上存在漏洞较多,有被利用进行攻击的重大风险;二是,开源软件的开发过程易被网络攻击者恶意利用,防范管控困难。。
事实上,去年的Log4j2事件已经引起业界对开源软件安全的重视。2021年12月,Apache基金会开源项目的Log4j2组件被发现存在远程代码执行漏洞。由于该组件是一个被广泛使用的开源工具,大量应用于关键业务系统的底层开发,因此该漏洞被业内称为“核弹级”漏洞。对此,周鸿祎表示,Log4j2漏洞只是开源软件漏洞的“冰山一角”,而类似Log4j2这样的底层开源工具漏洞,则足以撼动我国关键信息基础设施的安全。
“如果开源软件的安全隐患不解决,国内关键信息基础设施安全将是建立在沙滩上的城堡,面临着‘平时被控、战时被瘫’的现实风险。”周鸿祎建议,要以关键信息基础设施保护为抓手,从以下三个方面加强我国开源软件安全。
一是开展对开源代码的系统性漏洞挖掘,构建开源代码的安全风险评估机制。建议监管机构通过安全社区、挑战赛等形式,鼓励各方力量开展对开源代码的系统性漏洞挖掘,掌握安全隐患。并对关键信息基础设施和重要信息系统开展普查,摸清开源软件使用情况“家底”,精确掌握其类型、协议、来源等基础信息,形成全量使用关系视图,并进行系统漏洞挖掘,布局安全风险管理。
二是建立软件企业安全责任制,明确软件企业承担起开源软件的全生命周期安全管理。建议有关部门明确要求开源软件企业有义务对所使用的开源代码进行漏洞审查,建立企业安全响应中心,提高开源软件的安全管理能力。
三是积极参与国际开源社区,促进国际开源软件的漏洞挖掘。鼓励中国软件开发者积极参与国际开源社区,提高在国际开源社区的影响力,带动国际开源社区开展大规模的漏洞挖掘,提高开源项目的安全水平。
开源软件安全对我国关键信息基础设施安全至关重要。作为数字安全行业的委员,周鸿祎今年两会提案有望引发更多政府机构和企业对开源软件安全的重视,夯实数字化底座,为数字文明时代保驾护航。
