中国信通院总工程师：开源安全问题日渐凸显

北京12月22日电题：中国信通院总工程师：开源安全问题日渐凸显

中新财经记者刘育英

21日在北京举行的2024中国信通院ICT深度观察开源和软件供应链论坛上，中国信息通信研究院总工程师魏然表示，开源软件项目数量持续增长，开源技术覆盖领域加速扩张；同时开源安全问题日渐凸显，威胁软件产品可用性和安全性。

魏然介绍，全球企业、开发者持续加入开源、贡献开源。操作系统、人工智能、区块链等重点领域，开源软件占比超过80%，开源逐渐改变软件领域市场格局，也逐步成为数字创新的主流模式。

魏然表示，开源给企业带来降本增效、敏捷开发等便利的同时，也带来安全合规以及供应链风险，直接威胁企业软件产品可用性和稳定性。根据报告，2022年84%的代码库至少包含一个已知开源漏洞。

以开源为切入点，开展软件供应链安全治理已成为业界常态。国内金融、运营商、汽车等行业的头部企业，出于自身安全和业务连续性需要，积极探索在组织内部建立以开源治理为重点，以软件物料清单为抓手的软件供应链安全管理体系，提升企业全链条的安全能力。

针对如何进一步提升开源安全水平，中国信通院云大所副所长栗蔚建议：加强开源安全漏洞管理；提升开源许可证合规性；加强开源安全团队管理；完善开源安全工具。

在本届论坛上，中国信通院发布最新一批可信开源&可信安全系列评估结果，从开源治理、软件供应链安全、开源供应链、开源项目社区、云安全五个维度，建立一系列可信开源&可信安全标准体系，并落地评估测试，帮助企业降低软件使用风险，推动建立可信开源生态。(完) 【编辑:钱姣姣】