2024中国信通院深度观察开源和软件供应链论坛

中新财经记者 刘玉英

21日在北京举行的2024中国信息通信研究院ICT深度观察开源与软件供应链论坛上，中国信息通信研究院总工程师魏然表示，开放数开源软件项目持续增长，开源技术覆盖范围加速扩大； 与此同时，开源安全问题也日益突出，威胁着软件产品的可用性和安全性。

蔚然介绍，全球企业和开发者不断加入开源并为开源做出贡献。 在操作系统、人工智能、区块链等关键领域，开源软件占比超过80%。 开源逐渐改变了软件领域的市场格局，逐渐成为数字化创新的主流模式。

蔚然表示，开源在给企业带来降低成本、提高效率、敏捷开发等便利的同时，也带来了安全合规和供应链风险，直接威胁企业软件产品的可用性和稳定性。 报告称，到 2022 年，84% 的代码库至少包含一个已知的开源漏洞。

以开源为切入点开展软件供应链安全治理已成为行业常态。 国内金融、运营商、汽车等行业领先企业出于自身安全和业务连续性需求，正在积极探索在组织内部建立以开源治理为主、以软件账单为核心的软件供应链安全管理体系。材料为出发点。 ，提高整个企业链条的安全能力。

对于如何进一步提高开源安全水平，中国信息通信研究院云研究所副所长李伟建议：加强开源安全漏洞管理； 提高开源许可证合规性； 加强开源安全团队管理； 并改进开源安全工具。

在本次论坛上，中国信息通信研究院发布了最新一批可信开源&可信安全系列评测结果，从开源治理、软件供应链安全、开源供应链五个维度建立了系列评测结果、开源项目社区和云安全。 可信开源&可信安全标准体系，并实施评估和测试，帮助企业降低软件使用风险，推动可信开源生态系统的建立。 （超过）