三六零周鸿祎:若开源软件有立场将面临“平时被控、战时被瘫”###
“如果开源软件有了立场,我们将直面‘平时被控、战时被瘫’的现实风险。”3月30日,360创始人周鸿祎发布微博点评“开源软件卷入俄乌冲突中”一事。他表示,当前开源软件大多是由西方国家主导,依赖度高,一定程度上面临“受制于人”的困境。此外,由于开源软件开发力量复杂多元,开发人员经过一定的流程可以查看、修改、增加其源代码,攻击者很容易通过在开源软件中设置恶意代码、植入“后门”等方式,威胁数字安全。
近期,不少开源软件卷入俄乌冲突中,比如Node.js 、React等声明支援乌克兰,另外还有开源开发者向自己维护的项目源代码中“投毒”。而此次周鸿祎点评的开源软件是Nginx,它是由俄罗斯程序员开发的高性能的HTTP和反向代理web服务器,占据全球 Web 服务器市场逾三成份额,国内新浪、网易、豆瓣等多家网站也有使用。之前有开发者呼吁俄罗斯拿Nginx反制裁西方国家,但现在比较戏剧性的是,Nginx反而成了西方制裁俄罗斯的工具。
原因在于,2019 年 3 月,NGINX 被 F5 公司以 6.7 亿美元收购。而F5 公司CEO近日发布公开信表示,已暂停在俄罗斯的所有销售活动,移除俄罗斯对F5 网络的访问权限以及停止俄罗斯对 NGINX 开源项目做贡献。
诚然,开源对技术进步和产业发展具有重要意义,没有开源就没有如今数字化的世界。但是,正如周鸿祎所说,当开源软件有了立场,我们将直面“平时被控、战时被瘫”的现实风险。尤其,目前我国银行、能源、国防、医疗、电力等重要行业运行的系统,大量使用的是国际开源软件,一旦面临极端情况,也会存在“受制于人”的困境。
因此,加强中国自主开源生态建设和开源软件安全刻不容缓。首先,要积极参与国际开源社区,在学习和发展中,在既有规则内,不断提高话语权,建立影响力;其次,要鼓励第三方市场力量参与国内开源生态建设,推进开源自主,尽快掌控开源软件资源应用的主动权,从源头强化供给;最后,要对关键信息基础设施和重要信息系统开展普查,摸清开源软件使用情况“家底”,精确掌握其类型、协议、来源等基础信息,形成全量使用关系视图,并进行系统漏洞挖掘,布局安全风险管理。