前沿 | 開(kāi)源軟件安全風(fēng)險(xiǎn)評(píng)估與治理路徑探析

徐博雅

同濟(jì)大學(xué)政治與國(guó)際關(guān)系學(xué)院博士研究生、蘇州大學(xué)北京研究院助理研究員

當(dāng)前，國(guó)際開(kāi)源技術(shù)生態(tài)正經(jīng)歷從技術(shù)協(xié)作平臺(tái)向地緣競(jìng)爭(zhēng)工具的根本性轉(zhuǎn)變，美國(guó)將開(kāi)源技術(shù)作為其戰(zhàn)略競(jìng)爭(zhēng)工具，導(dǎo)致原本中立的“開(kāi)源無(wú)國(guó)界”原則逐漸被“技術(shù)主權(quán)化”趨勢(shì)取代。在此背景下，我國(guó)亟須針對(duì)相關(guān)重點(diǎn)領(lǐng)域開(kāi)展技術(shù)依賴度評(píng)估，健全信創(chuàng)產(chǎn)業(yè)政策，通過(guò)政策引導(dǎo)與市場(chǎng)機(jī)制的雙重驅(qū)動(dòng)，培育自主開(kāi)源社區(qū)，構(gòu)建自主開(kāi)源生態(tài)系統(tǒng)。

一、開(kāi)源技術(shù)地緣化趨勢(shì)加劇，觸發(fā)安全警示

隨著地緣政治競(jìng)爭(zhēng)不斷加劇，新興科技領(lǐng)域已成為大國(guó)博弈的關(guān)鍵焦點(diǎn)，開(kāi)源技術(shù)及其應(yīng)用生態(tài)的地緣政治屬性日益凸顯。

（一）“開(kāi)源武器化”成為數(shù)字時(shí)代大國(guó)博弈新界面

近年來(lái)，“開(kāi)源無(wú)國(guó)界”理念逐漸被拋棄，“開(kāi)源武器化”應(yīng)用事件層出不窮。其中，比較典型的方式包括以下三種。一是針對(duì)性技術(shù)斷供。由俄羅斯工程師開(kāi)發(fā)的Nginx作為全球最流行的Web服務(wù)器之一，盡管其本身是開(kāi)源軟件，然而被美國(guó)F5公司收購(gòu)后，主要維護(hù)團(tuán)隊(duì)由美國(guó)公司掌控。根據(jù)2025年4月的Netcraft排名，Ngnix在全球市場(chǎng)占比達(dá)20.79%，位列市占率榜單之首。在俄羅斯，許多政府、金融和媒體網(wǎng)站依賴Nginx作為反向代理和負(fù)載均衡工具。報(bào)道顯示，Nginx在俄羅斯的市場(chǎng)滲透率曾高達(dá)76.8%。烏克蘭危機(jī)爆發(fā)后，F(xiàn)5公司對(duì)旗下Nginx開(kāi)源項(xiàng)目實(shí)施“禁俄”區(qū)域性封鎖，導(dǎo)致俄羅斯部分金融機(jī)構(gòu)的在線服務(wù)因配置更新中斷而出現(xiàn)不穩(wěn)定或短暫癱瘓，俄羅斯最大的門戶網(wǎng)站和電子郵件提供商Rambler因無(wú)法獲取安全補(bǔ)丁和商業(yè)支持，出現(xiàn)大量漏洞風(fēng)險(xiǎn)和性能問(wèn)題。二是定向“投毒”攻擊。開(kāi)源項(xiàng)目通常以開(kāi)發(fā)效率為核心目標(biāo)，其維護(hù)者在設(shè)計(jì)存儲(chǔ)庫(kù)時(shí)往往優(yōu)先考慮便捷性。然而，這種松散協(xié)作的開(kāi)發(fā)模式缺乏系統(tǒng)性的安全審核機(jī)制，導(dǎo)致代碼安全防護(hù)存在明顯漏洞。攻擊者正是利用這一薄弱環(huán)節(jié)，通過(guò)植入后門或惡意代碼，對(duì)金融、能源系統(tǒng)等特定國(guó)家關(guān)鍵基礎(chǔ)設(shè)施實(shí)施精準(zhǔn)打擊。例如，2022年3月GitHub平臺(tái)公告顯示，Node-ipc開(kāi)源軟件維護(hù)者通過(guò)在NPM軟件包中嵌入可定向刪除俄羅斯、白俄羅斯等國(guó)用戶數(shù)據(jù)的代碼完成“投毒”攻擊。三是變更許可協(xié)議轉(zhuǎn)“閉源”。2024年3月，開(kāi)源軟件Redis突然宣布調(diào)整開(kāi)源協(xié)議，致使全球所有部署該軟件的系統(tǒng)面臨法律合規(guī)風(fēng)險(xiǎn)。受此沖擊，我國(guó)金融、電信等行業(yè)核心系統(tǒng)不得不緊急制定數(shù)據(jù)遷移方案。越來(lái)越多的案例表明，開(kāi)源軟件的政治化、武器化運(yùn)用已經(jīng)成為當(dāng)前大國(guó)博弈的新手段。

（二）開(kāi)源平臺(tái)已被納入美國(guó)技術(shù)管制框架并用于對(duì)外制裁

開(kāi)源平臺(tái)表面上秉持開(kāi)放、自由理念，實(shí)際運(yùn)營(yíng)始終受制于國(guó)家司法管轄權(quán)。部分國(guó)家依托其在有關(guān)領(lǐng)域的技術(shù)優(yōu)勢(shì)、市場(chǎng)優(yōu)勢(shì)，操縱、管控開(kāi)源軟件及相關(guān)平臺(tái)，使之成為服務(wù)大國(guó)競(jìng)爭(zhēng)的新型戰(zhàn)略威懾工具，對(duì)他國(guó)國(guó)家安全構(gòu)成重大威脅。種種跡象表明，美國(guó)已將開(kāi)源軟件納入技術(shù)管制框架，使之成為實(shí)施對(duì)外制裁的一個(gè)有力的新工具。一是平臺(tái)管制。2019年7月，全球最大開(kāi)源軟件托管平臺(tái)GitHub單方面凍結(jié)特定地區(qū)開(kāi)發(fā)者賬號(hào)，主要面向古巴、朝鮮、伊朗、敘利亞等被美國(guó)制裁國(guó)家的開(kāi)發(fā)者，其CEO表示，“GitHub受美國(guó)貿(mào)易法約束，就像任何在美國(guó)開(kāi)展業(yè)務(wù)的公司一樣”。二是生態(tài)排斥。美國(guó)商務(wù)部于2025年1月將中國(guó)人工智能（AI）公司智譜（Z.ai）及其子公司列入出口管制的“實(shí)體清單”。這意味著智譜在獲取先進(jìn)的AI芯片（如英偉達(dá)H100）、使用某些核心底層軟件及參與國(guó)際開(kāi)源協(xié)作方面受到嚴(yán)格限制。換言之，制裁的目的不僅是切斷硬件供應(yīng)，更是試圖將智譜這樣的領(lǐng)先者“踢出”由美國(guó)公司主導(dǎo)的全球AI研發(fā)主流生態(tài)圈，包括高端算力平臺(tái)、核心算法庫(kù)（如CUDA的某些替代方案）以及頂尖研究社區(qū)，從而延緩其發(fā)展步伐。三是政治站隊(duì)。烏克蘭危機(jī)爆發(fā)后，Node.js、React.js等國(guó)際主流開(kāi)源社區(qū)作出了集體封禁俄羅斯開(kāi)發(fā)者賬號(hào)的政治表態(tài)，再次印證“開(kāi)源有國(guó)界”。

二、對(duì)國(guó)際開(kāi)源軟件的高度依賴，成為我國(guó)面臨的嚴(yán)峻挑戰(zhàn)

當(dāng)前，我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施和各行業(yè)重要信息系統(tǒng)普遍采用國(guó)際開(kāi)源軟件，但其安全漏洞頻發(fā)、外部供應(yīng)鏈易受管制等特性，使得國(guó)家信息安全領(lǐng)域面臨嚴(yán)峻挑戰(zhàn)。

（一）開(kāi)源軟件廣泛進(jìn)入關(guān)鍵行業(yè)和領(lǐng)域

在關(guān)系我國(guó)國(guó)家安全及國(guó)民經(jīng)濟(jì)命脈的重要行業(yè)、企業(yè)及業(yè)務(wù)板塊的信息系統(tǒng)中，開(kāi)源軟件部署數(shù)量巨大，規(guī)模化應(yīng)用特征不容忽視。《2025中國(guó)軟件供應(yīng)鏈安全分析報(bào)告》指出，國(guó)內(nèi)企業(yè)軟件開(kāi)發(fā)中開(kāi)源軟件應(yīng)用廣泛，且使用數(shù)量持續(xù)增長(zhǎng)，平均每個(gè)軟件項(xiàng)目使用168個(gè)開(kāi)源軟件。

以金融行業(yè)及相關(guān)企業(yè)為例，該領(lǐng)域?qū)﹂_(kāi)源技術(shù)的依賴已從早期的工具層面向業(yè)務(wù)系統(tǒng)核心領(lǐng)域延伸，形成了全方位、多層次的應(yīng)用格局。中國(guó)信息通信研究院《金融行業(yè)開(kāi)源生態(tài)深度研究報(bào)告》顯示，我國(guó)金融機(jī)構(gòu)中超過(guò)90%的企業(yè)引入了開(kāi)源軟件，近四成金融機(jī)構(gòu)使用的開(kāi)源軟件/組件量級(jí)已超過(guò)1000個(gè)，中間件（90.63%）、大數(shù)據(jù)（87.5%）、數(shù)據(jù)庫(kù)（87.5%）、工具（78.13%）等是開(kāi)源軟件應(yīng)用的主要方向，這些領(lǐng)域恰好構(gòu)成了金融業(yè)務(wù)的數(shù)據(jù)處理、交易結(jié)算和風(fēng)控核心能力基礎(chǔ)。調(diào)研顯示，某大型銀行使用的40個(gè)常用系統(tǒng)中，共計(jì)部署131套國(guó)外開(kāi)源消息中間件，涉及合規(guī)管理、風(fēng)險(xiǎn)管理、客戶信息管理、財(cái)務(wù)管理、科技安全管理等多個(gè)關(guān)鍵業(yè)務(wù)場(chǎng)景；某央企集團(tuán)公司的信息系統(tǒng)中共部署1585套開(kāi)源中間件，廣泛覆蓋財(cái)務(wù)、審計(jì)、檔案、郵件、協(xié)同辦公、下屬子公司等各類基礎(chǔ)平臺(tái)和重要業(yè)務(wù)系統(tǒng)。

（二）開(kāi)源軟件高危漏洞風(fēng)險(xiǎn)

開(kāi)源組件漏洞可能成為系統(tǒng)性風(fēng)險(xiǎn)的傳導(dǎo)通道，攻擊者可借此實(shí)施數(shù)據(jù)竊取、業(yè)務(wù)中斷等惡意行為，給信息系統(tǒng)安全造成極大隱患。國(guó)家信息安全漏洞共享平臺(tái)（CNVD）公開(kāi)數(shù)據(jù)顯示，涉及7款主流開(kāi)源中間件產(chǎn)品的漏洞共有近600個(gè)，其中，中高危漏洞占比高達(dá)86.1%（高危24.8%、中危61.3%、低危13.9%）。2024年，奇安信代碼安全實(shí)驗(yàn)室對(duì)2344個(gè)國(guó)內(nèi)企業(yè)自主開(kāi)發(fā)的軟件項(xiàng)目的源代碼進(jìn)行了安全缺陷檢測(cè)，發(fā)現(xiàn)國(guó)內(nèi)企業(yè)軟件項(xiàng)目源代碼整體缺陷密度持續(xù)升高，達(dá)到了13.26個(gè)/千行，存在已知開(kāi)源軟件高危漏洞、超危漏洞、容易利用漏洞的項(xiàng)目占比分別為73.0%、57.4%和57.5%，整體來(lái)看風(fēng)險(xiǎn)依然處于較高水平，軟件項(xiàng)目存在老舊開(kāi)源軟件漏洞的狀況沒(méi)有改善，多個(gè)項(xiàng)目中依然存在二十年前的開(kāi)源軟件漏洞。這意味著我國(guó)企業(yè)在享受開(kāi)源技術(shù)帶來(lái)的敏捷性和成本優(yōu)勢(shì)的同時(shí)，也承擔(dān)著巨大的安全風(fēng)險(xiǎn)。2023年，新思科技發(fā)布的《開(kāi)源安全與風(fēng)險(xiǎn)分析報(bào)告》（OSSRA）顯示，金融行業(yè)98%的代碼庫(kù)中包含開(kāi)源代碼，平均每個(gè)代碼項(xiàng)目中開(kāi)源代碼占比接近75%，這種深度依賴使得任何開(kāi)源組件的安全漏洞都可能對(duì)金融系統(tǒng)的穩(wěn)定運(yùn)行構(gòu)成威脅。2021年披露的Apache Log4j2.x遠(yuǎn)程代碼執(zhí)行漏洞，因其在各類系統(tǒng)中的深度集成，導(dǎo)致全球范圍內(nèi)出現(xiàn)系統(tǒng)性安全危機(jī)，甚至可使一個(gè)國(guó)家的整體信息系統(tǒng)暴露于風(fēng)險(xiǎn)之中。

（三）開(kāi)源供應(yīng)鏈“斷供”風(fēng)險(xiǎn)

目前，國(guó)際主流開(kāi)源社區(qū)、代碼托管平臺(tái)（如GitHub）及開(kāi)源基金會(huì)（如Apache）多數(shù)受美國(guó)法律管轄，并明確遵守美國(guó)出口管制條例。這意味著，美國(guó)可綜合運(yùn)用各類政治、經(jīng)濟(jì)、法律手段，通過(guò)出口管制和司法管轄權(quán)對(duì)開(kāi)源生態(tài)施加影響。例如，調(diào)整政策將特定開(kāi)源項(xiàng)目納入管制范圍，直接切斷我國(guó)對(duì)關(guān)鍵開(kāi)源平臺(tái)的訪問(wèn)權(quán)限；即使多數(shù)公開(kāi)源代碼不受直接限制，但要求涉及加密等功能時(shí)仍需備案，導(dǎo)致我國(guó)企業(yè)和用戶無(wú)法正常使用或參與相關(guān)項(xiàng)目；根據(jù)司法管轄權(quán)條款，相關(guān)糾紛需由美國(guó)法院裁決，大幅增加我國(guó)企業(yè)的維權(quán)難度，中國(guó)公司托管在海外的開(kāi)源代碼資產(chǎn)可能也會(huì)面臨凍結(jié)風(fēng)險(xiǎn)。我國(guó)核心產(chǎn)業(yè)信息系統(tǒng)對(duì)國(guó)際開(kāi)源生態(tài)存在高度依賴，這種“技術(shù)依賴陷阱”極有可能在面臨“斷供”情況時(shí)，遭遇多重風(fēng)險(xiǎn)挑戰(zhàn)。

一是業(yè)務(wù)中斷與癱瘓風(fēng)險(xiǎn)。由于無(wú)數(shù)關(guān)鍵基礎(chǔ)設(shè)施、行業(yè)和企業(yè)的核心業(yè)務(wù)系統(tǒng)和服務(wù)都構(gòu)建在國(guó)際開(kāi)源軟件之上，突然“斷供”就無(wú)法獲取安全更新、功能補(bǔ)丁，甚至無(wú)法合法使用，直接威脅業(yè)務(wù)的連續(xù)性和穩(wěn)定性。二是法律與合規(guī)風(fēng)險(xiǎn)。如果“斷供”伴隨著許可證變更，例如，從寬松的Apache 2.0變更為限制性強(qiáng)的《Affero通用公共許可證》甚至商業(yè)許可證，繼續(xù)使用可能構(gòu)成侵權(quán)，面臨法律訴訟和巨額賠償。三是巨大的遷移成本。被迫更換一個(gè)已經(jīng)深度集成到系統(tǒng)中的基礎(chǔ)軟件，將產(chǎn)生巨額遷移成本。這不僅會(huì)面臨因數(shù)據(jù)格式不兼容而致使數(shù)據(jù)丟失或損壞的數(shù)據(jù)遷移風(fēng)險(xiǎn)，還需投入大量工程師人力與時(shí)間開(kāi)展軟件重寫或替換工作，以及對(duì)員工進(jìn)行再培訓(xùn)等。四是數(shù)字安全風(fēng)險(xiǎn)急劇上升。開(kāi)源社區(qū)的核心價(jià)值之一在于全球開(kāi)發(fā)者協(xié)同維護(hù)并發(fā)現(xiàn)漏洞，由于“斷供”后相關(guān)主體無(wú)法及時(shí)獲取安全補(bǔ)丁，從而被迫暴露于已知漏洞的攻擊風(fēng)險(xiǎn)中，極有可能引發(fā)數(shù)據(jù)泄露、勒索軟件攻擊等嚴(yán)重安全事件。2022年6月，美國(guó)商務(wù)部工業(yè)和安全局出臺(tái)有關(guān)漏洞信息管制的網(wǎng)絡(luò)安全新政策，將中國(guó)劃歸至D類（未經(jīng)許可，禁止美國(guó)實(shí)體向中國(guó)共享信息安全漏洞），意味著“全球開(kāi)源社區(qū)漏洞共享機(jī)制”不再對(duì)我國(guó)用戶無(wú)條件開(kāi)放，單方面中斷了我國(guó)與國(guó)際開(kāi)源社區(qū)的安全協(xié)作通道，進(jìn)一步加劇了我國(guó)在軟件供應(yīng)鏈安全領(lǐng)域的被動(dòng)局面。

三、成因分析：自主可控的開(kāi)源創(chuàng)新生態(tài)尚未建立

我國(guó)在開(kāi)源軟件領(lǐng)域面臨的種種安全風(fēng)險(xiǎn)，根源在于國(guó)內(nèi)替代生態(tài)尚不成熟，這一系統(tǒng)性缺陷主要體現(xiàn)在核心技術(shù)受制于人、產(chǎn)業(yè)生態(tài)支撐不足、政策保障體系不完善等方面。

（一）國(guó)內(nèi)開(kāi)源生態(tài)自主性薄弱，對(duì)外依存度有進(jìn)一步攀升趨勢(shì)

盡管國(guó)內(nèi)開(kāi)源軟件社區(qū)也在推進(jìn)中，但國(guó)內(nèi)開(kāi)源生態(tài)仍是國(guó)外開(kāi)源的“次生”產(chǎn)物，自主創(chuàng)新力和技術(shù)主導(dǎo)力總體不高，國(guó)內(nèi)開(kāi)源項(xiàng)目、開(kāi)源社區(qū)以利用國(guó)外開(kāi)源代碼、依托國(guó)外開(kāi)源社區(qū)為主，二次開(kāi)發(fā)依賴特征顯著。從存量上看，國(guó)外開(kāi)源軟件產(chǎn)品在我國(guó)的壟斷地位尚未打破。國(guó)內(nèi)開(kāi)源產(chǎn)品數(shù)量少，競(jìng)爭(zhēng)力弱，自主性低，難以打破國(guó)外開(kāi)源產(chǎn)品的市場(chǎng)壟斷。從增量上看，新興場(chǎng)景的國(guó)產(chǎn)開(kāi)源產(chǎn)品供給嚴(yán)重不足。國(guó)內(nèi)開(kāi)源項(xiàng)目主要集中在操作系統(tǒng)、數(shù)據(jù)庫(kù)等傳統(tǒng)領(lǐng)域，在人工智能、大數(shù)據(jù)、云計(jì)算等新賽道，許多企業(yè)仍奉行“拿來(lái)主義”，重上層應(yīng)用場(chǎng)景、輕底層基礎(chǔ)開(kāi)發(fā)。例如，在大模型中間件等新興領(lǐng)域，國(guó)外開(kāi)源社區(qū)的研發(fā)活躍度和技術(shù)成熟度大幅領(lǐng)先，我國(guó)若不加快追趕，未來(lái)在相關(guān)領(lǐng)域的對(duì)外依存度必將居高難下。

（二）部分信息安全關(guān)鍵領(lǐng)域在國(guó)際競(jìng)爭(zhēng)中仍陷被動(dòng)，政策覆蓋范圍需進(jìn)一步優(yōu)化

作為基礎(chǔ)軟件的核心構(gòu)成，中間件與操作系統(tǒng)、數(shù)據(jù)庫(kù)并稱為基礎(chǔ)軟件“三駕馬車”，共同構(gòu)成數(shù)字基礎(chǔ)設(shè)施的技術(shù)支柱。其中，后兩者已被納入信創(chuàng)政策重點(diǎn)支持范疇，中間件仍為“非關(guān)鍵替換組件”。當(dāng)前，我國(guó)中間件產(chǎn)業(yè)正處于邁向強(qiáng)大卻尚未達(dá)成產(chǎn)業(yè)發(fā)展預(yù)期目標(biāo)的關(guān)鍵階段，尚未扭轉(zhuǎn)在國(guó)際市場(chǎng)競(jìng)爭(zhēng)中的被動(dòng)局面，認(rèn)為“國(guó)產(chǎn)中間件產(chǎn)業(yè)已經(jīng)較為成熟無(wú)須給予特殊支持”的觀點(diǎn)存在誤區(qū)。事實(shí)上，國(guó)產(chǎn)中間件產(chǎn)業(yè)體量極小，市場(chǎng)占有率很低。國(guó)內(nèi)市場(chǎng)中國(guó)產(chǎn)商用中間件的銷售額占比不足10%，五家頭部企業(yè)的年?duì)I收總額不足10億元；而在國(guó)際知名中間件企業(yè)中，僅Redis公司一家的商業(yè)發(fā)行版產(chǎn)品年?duì)I業(yè)額就超1億美元。這種發(fā)展困境源于雙重?cái)D壓：國(guó)際廠商通過(guò)開(kāi)源策略實(shí)施市場(chǎng)滲透，IBM、Oracle等公司以免費(fèi)開(kāi)源產(chǎn)品快速占領(lǐng)市場(chǎng)，導(dǎo)致缺乏采購(gòu)標(biāo)準(zhǔn)約束的國(guó)內(nèi)用戶形成路徑依賴；此外，云原生技術(shù)變革帶來(lái)新的競(jìng)爭(zhēng)維度，國(guó)內(nèi)廠商在微服務(wù)、容器化等新興中間件領(lǐng)域仍存在技術(shù)空白。倘若不能及時(shí)完善產(chǎn)業(yè)政策、加大研發(fā)投入，長(zhǎng)此以往，極有可能陷入無(wú)國(guó)產(chǎn)替代方案可供使用的被動(dòng)局面。

四、管控開(kāi)源風(fēng)險(xiǎn)的相關(guān)建議

為加強(qiáng)相關(guān)風(fēng)險(xiǎn)治理、夯實(shí)國(guó)家信息安全根基，建議盡快對(duì)國(guó)際開(kāi)源軟件的依賴度進(jìn)行系統(tǒng)摸底，大力發(fā)展我國(guó)自主可控的基礎(chǔ)軟件“根技術(shù)”和“根社區(qū)”。

第一，深入評(píng)估重點(diǎn)行業(yè)企業(yè)及關(guān)鍵基礎(chǔ)設(shè)施開(kāi)源軟件風(fēng)險(xiǎn)。對(duì)政府部門、軍隊(duì)系統(tǒng)、科研單位開(kāi)源軟件的普及和使用情況進(jìn)行系統(tǒng)摸底，詳細(xì)梳理關(guān)系國(guó)家安全及國(guó)民經(jīng)濟(jì)命脈的重點(diǎn)行業(yè)、核心企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施中使用開(kāi)源軟件種類和數(shù)量，重點(diǎn)掌握黨政機(jī)關(guān)、軍事國(guó)防、重大科研系統(tǒng)中開(kāi)源軟件使用及對(duì)外依賴情況。

第二，加快研究制定更為明確和嚴(yán)格的開(kāi)源軟件供應(yīng)鏈安全管理標(biāo)準(zhǔn)。我國(guó)已于2024年11月開(kāi)始實(shí)施《網(wǎng)絡(luò)安全技術(shù)軟件供應(yīng)鏈安全要求》（GB/T 43698-2024）、《網(wǎng)絡(luò)安全技術(shù)軟件產(chǎn)品開(kāi)源代碼安全評(píng)價(jià)方法》（GB/T 43848-2024）等國(guó)家標(biāo)準(zhǔn)，為使用國(guó)外開(kāi)源軟件的合規(guī)管理提供了初步指引。但這些標(biāo)準(zhǔn)仍為“推薦性”國(guó)標(biāo)，社會(huì)“自愿性”實(shí)踐的效果有待檢驗(yàn)。因此，需在國(guó)家層面發(fā)布統(tǒng)一使用指南，對(duì)開(kāi)源軟件的引入、使用、維護(hù)、審計(jì)等關(guān)鍵環(huán)節(jié)給出詳細(xì)指引，制定嚴(yán)格篩選標(biāo)準(zhǔn)和評(píng)估流程，規(guī)范使用方式和權(quán)限管理，建立有效維護(hù)機(jī)制，設(shè)立定期審計(jì)和專項(xiàng)審計(jì)相結(jié)合制度，持續(xù)提升開(kāi)源軟件供應(yīng)鏈安全管理水平。

第三，補(bǔ)齊政策短板，穩(wěn)步降低對(duì)國(guó)外開(kāi)源軟件的依賴，加快重點(diǎn)領(lǐng)域國(guó)產(chǎn)化替代。2023年12月，財(cái)政部正式發(fā)布了操作系統(tǒng)等七大類基礎(chǔ)軟硬件政府采購(gòu)需求標(biāo)準(zhǔn)，為黨政機(jī)關(guān)和事業(yè)單位的基礎(chǔ)軟硬件采購(gòu)提供了明確的標(biāo)準(zhǔn)指導(dǎo)，國(guó)產(chǎn)化替代工作不斷取得新突破，但仍存在政策短板。例如，信息系統(tǒng)的“腰部”中間件并未列入其中，中間件作為一種中間層基礎(chǔ)軟件，處于操作系統(tǒng)之上、應(yīng)用程序之下，起著承上啟下的作用，以保障信息系統(tǒng)的高效運(yùn)行。中間件所存在的安全脆弱性，會(huì)對(duì)國(guó)家信息安全體系的整體安全性構(gòu)成直接威脅。建議進(jìn)一步完善信創(chuàng)政策，將中間件等政策遺漏點(diǎn)納入政府采購(gòu)標(biāo)準(zhǔn)，明確關(guān)鍵信息基礎(chǔ)設(shè)施中間件國(guó)產(chǎn)化替代要求，確保中間件和操作系統(tǒng)、數(shù)據(jù)庫(kù)“三駕馬車”齊頭并進(jìn)。

第四，大力發(fā)展我國(guó)主導(dǎo)的基礎(chǔ)軟件“根技術(shù)”和“根社區(qū)”。高度重視自主培育開(kāi)源軟件“根社區(qū)”的戰(zhàn)略價(jià)值，加快我國(guó)自主研發(fā)開(kāi)源軟件的進(jìn)程，徹底擺脫受制于人的局面和斷供風(fēng)險(xiǎn)。一是將自主開(kāi)源生態(tài)建設(shè)納入國(guó)家戰(zhàn)略布局。開(kāi)源軟件是大國(guó)科技競(jìng)賽的重要陣地，美國(guó)早在2002年就將開(kāi)源軟件上升為國(guó)家戰(zhàn)略，牢牢掌握國(guó)際三大開(kāi)源社區(qū)和全球最大開(kāi)源代碼托管平臺(tái)控制權(quán)。2021年，我國(guó)開(kāi)源軟件首次被納入國(guó)家級(jí)戰(zhàn)略規(guī)劃。盡管起步相對(duì)較晚，但已步入規(guī)范化發(fā)展軌道。建議相關(guān)部門制訂專項(xiàng)支持計(jì)劃，助力重要開(kāi)源軟件實(shí)現(xiàn)快速成長(zhǎng)，縮短追趕進(jìn)程。二是加強(qiáng)對(duì)開(kāi)源項(xiàng)目的支持。開(kāi)源主體方面，鼓勵(lì)更多企業(yè)和機(jī)構(gòu)參與我國(guó)開(kāi)源生態(tài)建設(shè)，維持開(kāi)源社區(qū)的主體數(shù)量與活躍度處于高速增長(zhǎng)態(tài)勢(shì)；開(kāi)源項(xiàng)目方面，大力支持新創(chuàng)的開(kāi)源項(xiàng)目，多措并舉構(gòu)建開(kāi)源項(xiàng)目的高質(zhì)量孵化體系，不斷增加開(kāi)源項(xiàng)目的數(shù)量和質(zhì)量；國(guó)際影響力方面，培育一批具有全球影響力的開(kāi)源項(xiàng)目，增強(qiáng)國(guó)際用戶對(duì)我國(guó)開(kāi)源項(xiàng)目的認(rèn)可度和使用黏性，逐步提高我國(guó)開(kāi)源社區(qū)的國(guó)際吸引力。三是完善社會(huì)參與的激勵(lì)制度。開(kāi)源模式具有很強(qiáng)的公益性和外部性，激勵(lì)不足將導(dǎo)致社會(huì)資本失去投入動(dòng)力、社會(huì)公眾缺乏參與熱情、開(kāi)源社區(qū)失去創(chuàng)新活力。因此，可通過(guò)揭榜掛帥、懸賞制、后期資助等多種方式，對(duì)作出突出貢獻(xiàn)的企業(yè)和團(tuán)隊(duì)予以精神和物質(zhì)雙重獎(jiǎng)勵(lì)。

（本文刊登于《中國(guó)信息安全》雜志2026年第1期）