演講嘉賓 | 程 光

回顧整理 | 廖 濤

排版校對(duì) | 李萍萍

嘉賓簡(jiǎn)介

程光，東南大學(xué)特聘教授，現(xiàn)任網(wǎng)絡(luò)空間安全學(xué)院執(zhí)行院長、計(jì)算機(jī)網(wǎng)絡(luò)和信息集成教育部重點(diǎn)實(shí)驗(yàn)室主任、網(wǎng)絡(luò)空間國際治理研究基地主任、江蘇省泛在網(wǎng)絡(luò)安全工程研究中心主任、江蘇省網(wǎng)絡(luò)空間安全高校聯(lián)盟理事長、江蘇省網(wǎng)絡(luò)空間安全學(xué)會(huì)理事長、中國指揮控制學(xué)會(huì)網(wǎng)絡(luò)空間安全專委會(huì)副主任、中國計(jì)算機(jī)學(xué)會(huì)互聯(lián)網(wǎng)專委會(huì)副主任、江蘇省計(jì)算機(jī)學(xué)會(huì)副理事長、科技部網(wǎng)絡(luò)空間治理和安全領(lǐng)域“十四五”規(guī)劃專家等學(xué)術(shù)兼職。研究方向網(wǎng)絡(luò)流量安全分析、主動(dòng)防御、內(nèi)生安全等，主持承擔(dān)國家重點(diǎn)研發(fā)、國家自然基金、中央網(wǎng)信辦專項(xiàng)等科研項(xiàng)目40余項(xiàng)。獲網(wǎng)絡(luò)安全優(yōu)秀教師、國家教學(xué)成果一等獎(jiǎng)，牽頭獲2021年江蘇省科技一等獎(jiǎng)、2014年江蘇省科技二等獎(jiǎng)。發(fā)表學(xué)術(shù)論文100余篇，出版專著8部，培養(yǎng)研究生100余人。

內(nèi)容來源

第一屆開放原子開源基金會(huì)OpenHarmony技術(shù)峰會(huì)——OpenHarmony高校技術(shù)俱樂部分論壇

視頻回顧

打開 嗶哩嗶哩APP 搜索 OpenHarmony-TSC 視頻更清晰

正 文 內(nèi) 容

開源生態(tài)是科技創(chuàng)新發(fā)展的關(guān)鍵驅(qū)動(dòng)力，對(duì)我國核心技術(shù)自主可控有重要意義。如何建設(shè)自主、開源軟件生態(tài)，目前已有哪些成果呢？東南大學(xué)教授、網(wǎng)絡(luò)空間安全學(xué)院院長程光在第一屆OpenHarmony技術(shù)峰會(huì)上進(jìn)行了精彩分享。

01?

自主與開源軟件發(fā)展現(xiàn)狀

開源社區(qū)在推動(dòng)開源軟件發(fā)展的過程中起著巨大的作用。我國開源軟件產(chǎn)業(yè)相較于歐美發(fā)達(dá)國家起步相對(duì)較晚，主要有以下3個(gè)特點(diǎn)：

國產(chǎn)化軟件市場(chǎng)占比增速較快，但部分關(guān)鍵基礎(chǔ)軟件占比仍然較低：（1）近年來，國產(chǎn)化軟件市場(chǎng)占比增速較快，越來越多的單位和個(gè)人開始使用國產(chǎn)化軟件，整體使用率上升；（2）部分關(guān)鍵基礎(chǔ)軟件占比過低，主要市場(chǎng)份額仍然被微軟、谷歌、甲骨文、IBM、Oracle龍頭企業(yè)等壟斷；（3）以中間件行業(yè)為例，2021年國內(nèi)五大中間件廠商市場(chǎng)占比僅15%，過半市場(chǎng)份額被IBM與Oracle瓜分。

使用場(chǎng)景與單位以敏感單位為主體：（1）國產(chǎn)化軟件的主要使用場(chǎng)景，目前仍以黨政、金融、電信、軍工、電力為主；（2）國產(chǎn)化軟件在傳統(tǒng)行業(yè)和中小型企業(yè)的使用率較低；（3）以數(shù)據(jù)庫行業(yè)為例，國產(chǎn)數(shù)據(jù)庫服務(wù)市場(chǎng)目前主要集中在金融、電信、政務(wù)、制造和交通五個(gè)領(lǐng)域。

部分領(lǐng)域快速成長：（1）國產(chǎn)化軟件在近十年整體市場(chǎng)占有率從5%上升至50%左右，其中云計(jì)算服務(wù)國產(chǎn)化占比超過90%；（2）國產(chǎn)化托管平臺(tái)Gitee已經(jīng)成長為世界范圍內(nèi)規(guī)模排名第二的代碼托管平臺(tái)。

02?

自主與開源軟件存在的安全隱患

目前，自主與開源軟件普遍存在供應(yīng)鏈風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)和技術(shù)風(fēng)險(xiǎn)。

供應(yīng)鏈風(fēng)險(xiǎn)：國產(chǎn)化軟件部分是依賴國外軟件或者采用開源軟件進(jìn)行二次開發(fā)而成，仍然存在供應(yīng)鏈“卡脖子”的問題或者技術(shù)安全問題。

法律風(fēng)險(xiǎn)：（1）在自主與開源軟件的開發(fā)中，可能有意或者無意違反開源許可證。例如，使用者違反開源許可證的規(guī)定使用開源軟件；各許可證的規(guī)則不同，導(dǎo)致開源許可證的兼容性風(fēng)險(xiǎn)，比如Apache 2.0與GPL 2.0許可證不兼容，不能將遵循Apache 2.0的開源代碼與遵循GPL 2.0的開源代碼合并在一起。部分開源軟件的開源許可協(xié)議會(huì)進(jìn)行修改。（2）未遵守開源許可證可能引起企業(yè)商譽(yù)受損或者法律風(fēng)險(xiǎn)。例如，2021年SeaweedFS作者Chris Lu發(fā)文譴責(zé)國內(nèi)某單位，表示其項(xiàng)目使用了他的開源代碼，但是沒有根據(jù)Apache 2.0協(xié)議的許可條款添加引用說明。

技術(shù)風(fēng)險(xiǎn)：根據(jù)奇安信2021年的報(bào)告，3354個(gè)國內(nèi)企業(yè)軟件項(xiàng)目中，平均每個(gè)項(xiàng)目使用了127個(gè)開源軟件，存在已知開源軟件漏洞的項(xiàng)目占比86.4%，存在容易利用的漏洞的項(xiàng)目占比77.0%，平均每個(gè)項(xiàng)目存在69個(gè)已知開源軟件漏洞，高于前一年度的66個(gè)，最多的軟件項(xiàng)目存在1555個(gè)已知開源軟件漏洞。十類典型缺陷的總體檢出率為73.5%，遠(yuǎn)高于2020年的56.3%。例如，開源的Java日志框架Apache Log4j2出現(xiàn)的CVE-2021-44228問題，導(dǎo)致全球近一半企業(yè)受到影響，該漏洞可以實(shí)現(xiàn)遠(yuǎn)程提權(quán)，使得凡是包含log4j開源組件的項(xiàng)目均無秘密可言。任何一款開源軟件曝出嚴(yán)重漏洞，其影響可能都會(huì)大過Log4j2的“Log4Shell”漏洞。

此外，國內(nèi)大部分網(wǎng)絡(luò)安全研究、大數(shù)據(jù)分析和人工智能研究的底層科研平臺(tái)都使用國外軟件和開源庫。根據(jù)shodan.io的統(tǒng)計(jì)結(jié)果顯示，在中國有8300多個(gè)Hadoop集群的50070端口暴露在公網(wǎng)上，黑客能夠利用這些暴露在公網(wǎng)上的端口，達(dá)到數(shù)據(jù)勒索的目的，面臨安全風(fēng)險(xiǎn)。

綜上所述，國內(nèi)大部分的底層科研平臺(tái)都使用的國外軟件和開源庫，但國外的軟件隨時(shí)可能被禁用，甚至被官方植入后門，魚龍混雜，可能存在隱患。開展國產(chǎn)化相關(guān)平臺(tái)的研究、開發(fā)與推廣應(yīng)用工作，實(shí)現(xiàn)科研上的自主與安全刻不容緩。其中，建設(shè)自主、開源軟件生態(tài)是關(guān)鍵問題。

03?

東南大學(xué)自主、開源軟件生態(tài)建設(shè)實(shí)踐和建議

東南大學(xué)網(wǎng)絡(luò)空間安全學(xué)院近年來積極參與自主、開源軟件生態(tài)建設(shè)，主要做了以下幾方面工作：

學(xué)院師生廣泛創(chuàng)建、參與開源社區(qū)：（1）網(wǎng)絡(luò)空間安全學(xué)院依托于科研教學(xué)平臺(tái)，創(chuàng)建了21個(gè)開源社區(qū)，加入7個(gè)SIG特別興趣組，參與學(xué)生人數(shù)達(dá)400+人，涉及可信人工智能、工程漏洞挖掘、智能計(jì)算與安全、區(qū)塊鏈公平交易以及人工智能安全等領(lǐng)域；（2）網(wǎng)絡(luò)空間安全學(xué)院持續(xù)深耕安全領(lǐng)域，被30+個(gè)國家研究人員廣泛參與和下載。

聯(lián)合企業(yè)合作，規(guī)劃共建全方位課程培養(yǎng)人才：目前已經(jīng)與華為公司規(guī)劃共建了包括《計(jì)算機(jī)網(wǎng)絡(luò)/數(shù)據(jù)通信》、《網(wǎng)絡(luò)安全》以及《AI for Network》等在內(nèi)的共計(jì)11門課程，同時(shí)，華為公司也為共建課程提供了豐富的支撐資源，如軟硬件平臺(tái)、課程資源包等。

推進(jìn)國產(chǎn)化軟硬件替代，掌握教學(xué)科研主動(dòng)權(quán)：在計(jì)算機(jī)課程、編程語言類課程、計(jì)算機(jī)網(wǎng)絡(luò)類課程、基礎(chǔ)軟件相關(guān)課程以及操作系統(tǒng)類課程等教學(xué)科研上，用國產(chǎn)軟硬件代替國外產(chǎn)品，產(chǎn)出更多國產(chǎn)化軟硬件教學(xué)科研實(shí)踐經(jīng)驗(yàn)。

基于上述實(shí)踐，東南大學(xué)總結(jié)了以下自主、開源軟件生態(tài)建設(shè)相關(guān)建議：

制定規(guī)范性的指導(dǎo)，保證持續(xù)一致的國產(chǎn)化平臺(tái)迭代改進(jìn)

統(tǒng)一規(guī)劃關(guān)鍵核心軟件攻關(guān)工程，充分發(fā)揮高校科研優(yōu)勢(shì)

繼續(xù)加強(qiáng)企業(yè)和高校人才培養(yǎng)對(duì)接

加大宣傳和推廣國產(chǎn)軟件力度

增強(qiáng)國產(chǎn)硬件的軟件配套

給高校提供教學(xué)科研版本的軟硬件及相關(guān)資料

目前，東南大學(xué)依托網(wǎng)絡(luò)空間安全學(xué)院已經(jīng)成立了OpenHarmony技術(shù)俱樂部，該俱樂部將成為OpenHarmony開源社區(qū)技術(shù)生態(tài)建設(shè)的重要載體和平臺(tái)。在科研基礎(chǔ)上，網(wǎng)絡(luò)空間安全學(xué)院提供了一流的科研平臺(tái)，有多個(gè)國家級(jí)、省級(jí)重點(diǎn)實(shí)驗(yàn)室和工程研究中心；在師資上，專職教師近八十人，其中正高20+，副高30+，近兩年引進(jìn)人才30+，計(jì)算機(jī)學(xué)院、信息學(xué)院、等校內(nèi)兼職導(dǎo)師90+，專碩研究生校外企業(yè)指導(dǎo)教師30+；在生源上，網(wǎng)絡(luò)空間安全學(xué)院年招生數(shù)650人，其中本科生150人、碩士生400人、博士生100人，招生規(guī)模位居全國網(wǎng)絡(luò)安全學(xué)院首位，在校生近2000人，學(xué)生規(guī)模在校內(nèi)居前三位。

東南大學(xué)網(wǎng)絡(luò)空間安全學(xué)院已經(jīng)基于項(xiàng)目發(fā)布了多個(gè)開源軟件，并積極參與國際科研和開發(fā)社區(qū)活動(dòng)：（1）與華為合作的Mediator項(xiàng)目在IETF hackathon 112上進(jìn)行了公開演示；（2）由學(xué)院SUS戰(zhàn)隊(duì)開發(fā)的geacon_pro項(xiàng)目獲得了安全領(lǐng)域重要的404星鏈計(jì)劃贊助；（3）以東南大學(xué)網(wǎng)絡(luò)空間安全學(xué)院身份加入OpenKylin等多個(gè)開源組織。

未來，期待在東南大學(xué)OpenHarmony技術(shù)俱樂部這一重要載體和平臺(tái)的作用下，將緊密圍繞OpenHarmony項(xiàng)目群技術(shù)指導(dǎo)委員會(huì)（TSC）定期對(duì)外發(fā)布的難題，并結(jié)合東南大學(xué)已有的工作成果和優(yōu)勢(shì)，進(jìn)一步促進(jìn)OpenHarmony技術(shù)生態(tài)以及自主、開源軟件生態(tài)的繁榮發(fā)展。

E N D

審核編輯 黃宇