首頁 > 安全資訊 > 正文

全國政協委員周鴻祎建議:加強開源軟件安全

“中國技術進步和數字化發展離不開開源軟件的貢獻,國內大量關鍵信息基礎設施也使用了開源軟件。但是只要是人寫的軟件就一定有漏洞,開源軟件也存在漏洞風險,會影響到我國關鍵信息基礎設施的安全?!?022年全國兩會召開在即,全國政協委員、360創始人周鴻祎對記者表示,今年的提案之一是聚焦開源軟件安全。

關注開源軟件安全問題并非否認開源,相反,周鴻祎非常認可開源,他表示,“我們需要有‘我為人人、人人為我’的開源精神。尤其當數字化規模越來越大,靠一家公司的幾千名工程師支撐一套大數據或者人工智能體系難以為繼,必須通過開源,變成很多公司與自由工程師一起來支撐數字化?!?/span>

同時,為了關鍵信息基礎設施的安全,周鴻祎也指出開源面臨兩個方面的風險。一是,開源軟件客觀上存在漏洞較多,有被利用進行攻擊的重大風險;二是,開源軟件的開發過程易被網絡攻擊者惡意利用,防范管控困難。。

事實上,去年的Log4j2事件已經引起業界對開源軟件安全的重視。2021年12月,Apache基金會開源項目的Log4j2組件被發現存在遠程代碼執行漏洞。由于該組件是一個被廣泛使用的開源工具,大量應用于關鍵業務系統的底層開發,因此該漏洞被業內稱為“核彈級”漏洞。對此,周鴻祎表示,Log4j2漏洞只是開源軟件漏洞的“冰山一角”,而類似Log4j2這樣的底層開源工具漏洞,則足以撼動我國關鍵信息基礎設施的安全。

“如果開源軟件的安全隱患不解決,國內關鍵信息基礎設施安全將是建立在沙灘上的城堡,面臨著‘平時被控、戰時被癱’的現實風險?!敝茗櫟t建議,要以關鍵信息基礎設施保護為抓手,從以下三個方面加強我國開源軟件安全。

一是開展對開源代碼的系統性漏洞挖掘,構建開源代碼的安全風險評估機制。建議監管機構通過安全社區、挑戰賽等形式,鼓勵各方力量開展對開源代碼的系統性漏洞挖掘,掌握安全隱患。并對關鍵信息基礎設施和重要信息系統開展普查,摸清開源軟件使用情況“家底”,精確掌握其類型、協議、來源等基礎信息,形成全量使用關系視圖,并進行系統漏洞挖掘,布局安全風險管理。

二是建立軟件企業安全責任制,明確軟件企業承擔起開源軟件的全生命周期安全管理。建議有關部門明確要求開源軟件企業有義務對所使用的開源代碼進行漏洞審查,建立企業安全響應中心,提高開源軟件的安全管理能力。

三是積極參與國際開源社區,促進國際開源軟件的漏洞挖掘。鼓勵中國軟件開發者積極參與國際開源社區,提高在國際開源社區的影響力,帶動國際開源社區開展大規模的漏洞挖掘,提高開源項目的安全水平。

開源軟件安全對我國關鍵信息基礎設施安全至關重要。作為數字安全行業的委員,周鴻祎今年兩會提案有望引發更多政府機構和企業對開源軟件安全的重視,夯實數字化底座,為數字文明時代保駕護航。

360安全衛士

熱點排行

用戶
反饋
返回
頂部
亚洲一区二区偷拍精品,亚洲一区二区在线,亚洲一区久欧美一区日韩,亚洲一区欧美二区,亚洲一区欧美一区