前沿 | 开源软件安全风险评估与治理路径探析

徐博雅

同济大学政治与国际关系学院博士研究生、苏州大学北京研究院助理研究员

当前，国际开源技术生态正经历从技术协作平台向地缘竞争工具的根本性转变，美国将开源技术作为其战略竞争工具，导致原本中立的“开源无国界”原则逐渐被“技术主权化”趋势取代。在此背景下，我国亟须针对相关重点领域开展技术依赖度评估，健全信创产业政策，通过政策引导与市场机制的双重驱动，培育自主开源社区，构建自主开源生态系统。

一、开源技术地缘化趋势加剧，触发安全警示

随着地缘政治竞争不断加剧，新兴科技领域已成为大国博弈的关键焦点，开源技术及其应用生态的地缘政治属性日益凸显。

（一）“开源武器化”成为数字时代大国博弈新界面

近年来，“开源无国界”理念逐渐被抛弃，“开源武器化”应用事件层出不穷。其中，比较典型的方式包括以下三种。一是针对性技术断供。由俄罗斯工程师开发的Nginx作为全球最流行的Web服务器之一，尽管其本身是开源软件，然而被美国F5公司收购后，主要维护团队由美国公司掌控。根据2025年4月的Netcraft排名，Ngnix在全球市场占比达20.79%，位列市占率榜单之首。在俄罗斯，许多政府、金融和媒体网站依赖Nginx作为反向代理和负载均衡工具。报道显示，Nginx在俄罗斯的市场渗透率曾高达76.8%。乌克兰危机爆发后，F5公司对旗下Nginx开源项目实施“禁俄”区域性封锁，导致俄罗斯部分金融机构的在线服务因配置更新中断而出现不稳定或短暂瘫痪，俄罗斯最大的门户网站和电子邮件提供商Rambler因无法获取安全补丁和商业支持，出现大量漏洞风险和性能问题。二是定向“投毒”攻击。开源项目通常以开发效率为核心目标，其维护者在设计存储库时往往优先考虑便捷性。然而，这种松散协作的开发模式缺乏系统性的安全审核机制，导致代码安全防护存在明显漏洞。攻击者正是利用这一薄弱环节，通过植入后门或恶意代码，对金融、能源系统等特定国家关键基础设施实施精准打击。例如，2022年3月GitHub平台公告显示，Node-ipc开源软件维护者通过在NPM软件包中嵌入可定向删除俄罗斯、白俄罗斯等国用户数据的代码完成“投毒”攻击。三是变更许可协议转“闭源”。2024年3月，开源软件Redis突然宣布调整开源协议，致使全球所有部署该软件的系统面临法律合规风险。受此冲击，我国金融、电信等行业核心系统不得不紧急制定数据迁移方案。越来越多的案例表明，开源软件的政治化、武器化运用已经成为当前大国博弈的新手段。

（二）开源平台已被纳入美国技术管制框架并用于对外制裁

开源平台表面上秉持开放、自由理念，实际运营始终受制于国家司法管辖权。部分国家依托其在有关领域的技术优势、市场优势，操纵、管控开源软件及相关平台，使之成为服务大国竞争的新型战略威慑工具，对他国国家安全构成重大威胁。种种迹象表明，美国已将开源软件纳入技术管制框架，使之成为实施对外制裁的一个有力的新工具。一是平台管制。2019年7月，全球最大开源软件托管平台GitHub单方面冻结特定地区开发者账号，主要面向古巴、朝鲜、伊朗、叙利亚等被美国制裁国家的开发者，其CEO表示，“GitHub受美国贸易法约束，就像任何在美国开展业务的公司一样”。二是生态排斥。美国商务部于2025年1月将中国人工智能（AI）公司智谱（Z.ai）及其子公司列入出口管制的“实体清单”。这意味着智谱在获取先进的AI芯片（如英伟达H100）、使用某些核心底层软件及参与国际开源协作方面受到严格限制。换言之，制裁的目的不仅是切断硬件供应，更是试图将智谱这样的领先者“踢出”由美国公司主导的全球AI研发主流生态圈，包括高端算力平台、核心算法库（如CUDA的某些替代方案）以及顶尖研究社区，从而延缓其发展步伐。三是政治站队。乌克兰危机爆发后，Node.js、React.js等国际主流开源社区作出了集体封禁俄罗斯开发者账号的政治表态，再次印证“开源有国界”。

二、对国际开源软件的高度依赖，成为我国面临的严峻挑战

当前，我国关键信息基础设施和各行业重要信息系统普遍采用国际开源软件，但其安全漏洞频发、外部供应链易受管制等特性，使得国家信息安全领域面临严峻挑战。

（一）开源软件广泛进入关键行业和领域

在关系我国国家安全及国民经济命脉的重要行业、企业及业务板块的信息系统中，开源软件部署数量巨大，规模化应用特征不容忽视。《2025中国软件供应链安全分析报告》指出，国内企业软件开发中开源软件应用广泛，且使用数量持续增长，平均每个软件项目使用168个开源软件。

以金融行业及相关企业为例，该领域对开源技术的依赖已从早期的工具层面向业务系统核心领域延伸，形成了全方位、多层次的应用格局。中国信息通信研究院《金融行业开源生态深度研究报告》显示，我国金融机构中超过90%的企业引入了开源软件，近四成金融机构使用的开源软件/组件量级已超过1000个，中间件（90.63%）、大数据（87.5%）、数据库（87.5%）、工具（78.13%）等是开源软件应用的主要方向，这些领域恰好构成了金融业务的数据处理、交易结算和风控核心能力基础。调研显示，某大型银行使用的40个常用系统中，共计部署131套国外开源消息中间件，涉及合规管理、风险管理、客户信息管理、财务管理、科技安全管理等多个关键业务场景；某央企集团公司的信息系统中共部署1585套开源中间件，广泛覆盖财务、审计、档案、邮件、协同办公、下属子公司等各类基础平台和重要业务系统。

（二）开源软件高危漏洞风险

开源组件漏洞可能成为系统性风险的传导通道，攻击者可借此实施数据窃取、业务中断等恶意行为，给信息系统安全造成极大隐患。国家信息安全漏洞共享平台（CNVD）公开数据显示，涉及7款主流开源中间件产品的漏洞共有近600个，其中，中高危漏洞占比高达86.1%（高危24.8%、中危61.3%、低危13.9%）。2024年，奇安信代码安全实验室对2344个国内企业自主开发的软件项目的源代码进行了安全缺陷检测，发现国内企业软件项目源代码整体缺陷密度持续升高，达到了13.26个/千行，存在已知开源软件高危漏洞、超危漏洞、容易利用漏洞的项目占比分别为73.0%、57.4%和57.5%，整体来看风险依然处于较高水平，软件项目存在老旧开源软件漏洞的状况没有改善，多个项目中依然存在二十年前的开源软件漏洞。这意味着我国企业在享受开源技术带来的敏捷性和成本优势的同时，也承担着巨大的安全风险。2023年，新思科技发布的《开源安全与风险分析报告》（OSSRA）显示，金融行业98%的代码库中包含开源代码，平均每个代码项目中开源代码占比接近75%，这种深度依赖使得任何开源组件的安全漏洞都可能对金融系统的稳定运行构成威胁。2021年披露的Apache Log4j2.x远程代码执行漏洞，因其在各类系统中的深度集成，导致全球范围内出现系统性安全危机，甚至可使一个国家的整体信息系统暴露于风险之中。

（三）开源供应链“断供”风险

目前，国际主流开源社区、代码托管平台（如GitHub）及开源基金会（如Apache）多数受美国法律管辖，并明确遵守美国出口管制条例。这意味着，美国可综合运用各类政治、经济、法律手段，通过出口管制和司法管辖权对开源生态施加影响。例如，调整政策将特定开源项目纳入管制范围，直接切断我国对关键开源平台的访问权限；即使多数公开源代码不受直接限制，但要求涉及加密等功能时仍需备案，导致我国企业和用户无法正常使用或参与相关项目；根据司法管辖权条款，相关纠纷需由美国法院裁决，大幅增加我国企业的维权难度，中国公司托管在海外的开源代码资产可能也会面临冻结风险。我国核心产业信息系统对国际开源生态存在高度依赖，这种“技术依赖陷阱”极有可能在面临“断供”情况时，遭遇多重风险挑战。

一是业务中断与瘫痪风险。由于无数关键基础设施、行业和企业的核心业务系统和服务都构建在国际开源软件之上，突然“断供”就无法获取安全更新、功能补丁，甚至无法合法使用，直接威胁业务的连续性和稳定性。二是法律与合规风险。如果“断供”伴随着许可证变更，例如，从宽松的Apache 2.0变更为限制性强的《Affero通用公共许可证》甚至商业许可证，继续使用可能构成侵权，面临法律诉讼和巨额赔偿。三是巨大的迁移成本。被迫更换一个已经深度集成到系统中的基础软件，将产生巨额迁移成本。这不仅会面临因数据格式不兼容而致使数据丢失或损坏的数据迁移风险，还需投入大量工程师人力与时间开展软件重写或替换工作，以及对员工进行再培训等。四是数字安全风险急剧上升。开源社区的核心价值之一在于全球开发者协同维护并发现漏洞，由于“断供”后相关主体无法及时获取安全补丁，从而被迫暴露于已知漏洞的攻击风险中，极有可能引发数据泄露、勒索软件攻击等严重安全事件。2022年6月，美国商务部工业和安全局出台有关漏洞信息管制的网络安全新政策，将中国划归至D类（未经许可，禁止美国实体向中国共享信息安全漏洞），意味着“全球开源社区漏洞共享机制”不再对我国用户无条件开放，单方面中断了我国与国际开源社区的安全协作通道，进一步加剧了我国在软件供应链安全领域的被动局面。

三、成因分析：自主可控的开源创新生态尚未建立

我国在开源软件领域面临的种种安全风险，根源在于国内替代生态尚不成熟，这一系统性缺陷主要体现在核心技术受制于人、产业生态支撑不足、政策保障体系不完善等方面。

（一）国内开源生态自主性薄弱，对外依存度有进一步攀升趋势

尽管国内开源软件社区也在推进中，但国内开源生态仍是国外开源的“次生”产物，自主创新力和技术主导力总体不高，国内开源项目、开源社区以利用国外开源代码、依托国外开源社区为主，二次开发依赖特征显著。从存量上看，国外开源软件产品在我国的垄断地位尚未打破。国内开源产品数量少，竞争力弱，自主性低，难以打破国外开源产品的市场垄断。从增量上看，新兴场景的国产开源产品供给严重不足。国内开源项目主要集中在操作系统、数据库等传统领域，在人工智能、大数据、云计算等新赛道，许多企业仍奉行“拿来主义”，重上层应用场景、轻底层基础开发。例如，在大模型中间件等新兴领域，国外开源社区的研发活跃度和技术成熟度大幅领先，我国若不加快追赶，未来在相关领域的对外依存度必将居高难下。

（二）部分信息安全关键领域在国际竞争中仍陷被动，政策覆盖范围需进一步优化

作为基础软件的核心构成，中间件与操作系统、数据库并称为基础软件“三驾马车”，共同构成数字基础设施的技术支柱。其中，后两者已被纳入信创政策重点支持范畴，中间件仍为“非关键替换组件”。当前，我国中间件产业正处于迈向强大却尚未达成产业发展预期目标的关键阶段，尚未扭转在国际市场竞争中的被动局面，认为“国产中间件产业已经较为成熟无须给予特殊支持”的观点存在误区。事实上，国产中间件产业体量极小，市场占有率很低。国内市场中国产商用中间件的销售额占比不足10%，五家头部企业的年营收总额不足10亿元；而在国际知名中间件企业中，仅Redis公司一家的商业发行版产品年营业额就超1亿美元。这种发展困境源于双重挤压：国际厂商通过开源策略实施市场渗透，IBM、Oracle等公司以免费开源产品快速占领市场，导致缺乏采购标准约束的国内用户形成路径依赖；此外，云原生技术变革带来新的竞争维度，国内厂商在微服务、容器化等新兴中间件领域仍存在技术空白。倘若不能及时完善产业政策、加大研发投入，长此以往，极有可能陷入无国产替代方案可供使用的被动局面。

四、管控开源风险的相关建议

为加强相关风险治理、夯实国家信息安全根基，建议尽快对国际开源软件的依赖度进行系统摸底，大力发展我国自主可控的基础软件“根技术”和“根社区”。

第一，深入评估重点行业企业及关键基础设施开源软件风险。对政府部门、军队系统、科研单位开源软件的普及和使用情况进行系统摸底，详细梳理关系国家安全及国民经济命脉的重点行业、核心企业和关键基础设施中使用开源软件种类和数量，重点掌握党政机关、军事国防、重大科研系统中开源软件使用及对外依赖情况。

第二，加快研究制定更为明确和严格的开源软件供应链安全管理标准。我国已于2024年11月开始实施《网络安全技术软件供应链安全要求》（GB/T 43698-2024）、《网络安全技术软件产品开源代码安全评价方法》（GB/T 43848-2024）等国家标准，为使用国外开源软件的合规管理提供了初步指引。但这些标准仍为“推荐性”国标，社会“自愿性”实践的效果有待检验。因此，需在国家层面发布统一使用指南，对开源软件的引入、使用、维护、审计等关键环节给出详细指引，制定严格筛选标准和评估流程，规范使用方式和权限管理，建立有效维护机制，设立定期审计和专项审计相结合制度，持续提升开源软件供应链安全管理水平。

第三，补齐政策短板，稳步降低对国外开源软件的依赖，加快重点领域国产化替代。2023年12月，财政部正式发布了操作系统等七大类基础软硬件政府采购需求标准，为党政机关和事业单位的基础软硬件采购提供了明确的标准指导，国产化替代工作不断取得新突破，但仍存在政策短板。例如，信息系统的“腰部”中间件并未列入其中，中间件作为一种中间层基础软件，处于操作系统之上、应用程序之下，起着承上启下的作用，以保障信息系统的高效运行。中间件所存在的安全脆弱性，会对国家信息安全体系的整体安全性构成直接威胁。建议进一步完善信创政策，将中间件等政策遗漏点纳入政府采购标准，明确关键信息基础设施中间件国产化替代要求，确保中间件和操作系统、数据库“三驾马车”齐头并进。

第四，大力发展我国主导的基础软件“根技术”和“根社区”。高度重视自主培育开源软件“根社区”的战略价值，加快我国自主研发开源软件的进程，彻底摆脱受制于人的局面和断供风险。一是将自主开源生态建设纳入国家战略布局。开源软件是大国科技竞赛的重要阵地，美国早在2002年就将开源软件上升为国家战略，牢牢掌握国际三大开源社区和全球最大开源代码托管平台控制权。2021年，我国开源软件首次被纳入国家级战略规划。尽管起步相对较晚，但已步入规范化发展轨道。建议相关部门制订专项支持计划，助力重要开源软件实现快速成长，缩短追赶进程。二是加强对开源项目的支持。开源主体方面，鼓励更多企业和机构参与我国开源生态建设，维持开源社区的主体数量与活跃度处于高速增长态势；开源项目方面，大力支持新创的开源项目，多措并举构建开源项目的高质量孵化体系，不断增加开源项目的数量和质量；国际影响力方面，培育一批具有全球影响力的开源项目，增强国际用户对我国开源项目的认可度和使用黏性，逐步提高我国开源社区的国际吸引力。三是完善社会参与的激励制度。开源模式具有很强的公益性和外部性，激励不足将导致社会资本失去投入动力、社会公众缺乏参与热情、开源社区失去创新活力。因此，可通过揭榜挂帅、悬赏制、后期资助等多种方式，对作出突出贡献的企业和团队予以精神和物质双重奖励。

（本文刊登于《中国信息安全》杂志2026年第1期）