演講嘉賓 | 程 光

回顧整理 | 廖 濤

排版校對 | 李萍萍

嘉賓簡介

程光，東南大學特聘教授，現任網絡空間安全學院執行院長、計算機網絡和信息集成教育部重點實驗室主任、網絡空間國際治理研究基地主任、江蘇省泛在網絡安全工程研究中心主任、江蘇省網絡空間安全高校聯盟理事長、江蘇省網絡空間安全學會理事長、中國指揮控制學會網絡空間安全專委會副主任、中國計算機學會互聯網專委會副主任、江蘇省計算機學會副理事長、科技部網絡空間治理和安全領域“十四五”規劃專家等學術兼職。研究方向網絡流量安全分析、主動防御、內生安全等，主持承擔國家重點研發、國家自然基金、中央網信辦專項等科研項目40余項。獲網絡安全優秀教師、國家教學成果一等獎，牽頭獲2021年江蘇省科技一等獎、2014年江蘇省科技二等獎。發表學術論文100余篇，出版專著8部，培養研究生100余人。

內容來源

第一屆開放原子開源基金會OpenHarmony技術峰會——OpenHarmony高校技術俱樂部分論壇

視頻回顧

打開 嗶哩嗶哩APP 搜索 OpenHarmony-TSC 視頻更清晰

正 文 內 容

開源生態是科技創新發展的關鍵驅動力，對我國核心技術自主可控有重要意義。如何建設自主、開源軟件生態，目前已有哪些成果呢？東南大學教授、網絡空間安全學院院長程光在第一屆OpenHarmony技術峰會上進行了精彩分享。

01?

自主與開源軟件發展現狀

開源社區在推動開源軟件發展的過程中起著巨大的作用。我國開源軟件產業相較于歐美發達國家起步相對較晚，主要有以下3個特點：

國產化軟件市場占比增速較快，但部分關鍵基礎軟件占比仍然較低：（1）近年來，國產化軟件市場占比增速較快，越來越多的單位和個人開始使用國產化軟件，整體使用率上升；（2）部分關鍵基礎軟件占比過低，主要市場份額仍然被微軟、谷歌、甲骨文、IBM、Oracle龍頭企業等壟斷；（3）以中間件行業為例，2021年國內五大中間件廠商市場占比僅15%，過半市場份額被IBM與Oracle瓜分。

使用場景與單位以敏感單位為主體：（1）國產化軟件的主要使用場景，目前仍以黨政、金融、電信、軍工、電力為主；（2）國產化軟件在傳統行業和中小型企業的使用率較低；（3）以數據庫行業為例，國產數據庫服務市場目前主要集中在金融、電信、政務、制造和交通五個領域。

部分領域快速成長：（1）國產化軟件在近十年整體市場占有率從5%上升至50%左右，其中云計算服務國產化占比超過90%；（2）國產化托管平臺Gitee已經成長為世界范圍內規模排名第二的代碼托管平臺。

02?

自主與開源軟件存在的安全隱患

目前，自主與開源軟件普遍存在供應鏈風險、法律風險和技術風險。

供應鏈風險：國產化軟件部分是依賴國外軟件或者采用開源軟件進行二次開發而成，仍然存在供應鏈“卡脖子”的問題或者技術安全問題。

法律風險：（1）在自主與開源軟件的開發中，可能有意或者無意違反開源許可證。例如，使用者違反開源許可證的規定使用開源軟件；各許可證的規則不同，導致開源許可證的兼容性風險，比如Apache 2.0與GPL 2.0許可證不兼容，不能將遵循Apache 2.0的開源代碼與遵循GPL 2.0的開源代碼合并在一起。部分開源軟件的開源許可協議會進行修改。（2）未遵守開源許可證可能引起企業商譽受損或者法律風險。例如，2021年SeaweedFS作者Chris Lu發文譴責國內某單位，表示其項目使用了他的開源代碼，但是沒有根據Apache 2.0協議的許可條款添加引用說明。

技術風險：根據奇安信2021年的報告，3354個國內企業軟件項目中，平均每個項目使用了127個開源軟件，存在已知開源軟件漏洞的項目占比86.4%，存在容易利用的漏洞的項目占比77.0%，平均每個項目存在69個已知開源軟件漏洞，高于前一年度的66個，最多的軟件項目存在1555個已知開源軟件漏洞。十類典型缺陷的總體檢出率為73.5%，遠高于2020年的56.3%。例如，開源的Java日志框架Apache Log4j2出現的CVE-2021-44228問題，導致全球近一半企業受到影響，該漏洞可以實現遠程提權，使得凡是包含log4j開源組件的項目均無秘密可言。任何一款開源軟件曝出嚴重漏洞，其影響可能都會大過Log4j2的“Log4Shell”漏洞。

此外，國內大部分網絡安全研究、大數據分析和人工智能研究的底層科研平臺都使用國外軟件和開源庫。根據shodan.io的統計結果顯示，在中國有8300多個Hadoop集群的50070端口暴露在公網上，黑客能夠利用這些暴露在公網上的端口，達到數據勒索的目的，面臨安全風險。

綜上所述，國內大部分的底層科研平臺都使用的國外軟件和開源庫，但國外的軟件隨時可能被禁用，甚至被官方植入后門，魚龍混雜，可能存在隱患。開展國產化相關平臺的研究、開發與推廣應用工作，實現科研上的自主與安全刻不容緩。其中，建設自主、開源軟件生態是關鍵問題。

03?

東南大學自主、開源軟件生態建設實踐和建議

東南大學網絡空間安全學院近年來積極參與自主、開源軟件生態建設，主要做了以下幾方面工作：

學院師生廣泛創建、參與開源社區：（1）網絡空間安全學院依托于科研教學平臺，創建了21個開源社區，加入7個SIG特別興趣組，參與學生人數達400+人，涉及可信人工智能、工程漏洞挖掘、智能計算與安全、區塊鏈公平交易以及人工智能安全等領域；（2）網絡空間安全學院持續深耕安全領域，被30+個國家研究人員廣泛參與和下載。

聯合企業合作，規劃共建全方位課程培養人才：目前已經與華為公司規劃共建了包括《計算機網絡/數據通信》、《網絡安全》以及《AI for Network》等在內的共計11門課程，同時，華為公司也為共建課程提供了豐富的支撐資源，如軟硬件平臺、課程資源包等。

推進國產化軟硬件替代，掌握教學科研主動權：在計算機課程、編程語言類課程、計算機網絡類課程、基礎軟件相關課程以及操作系統類課程等教學科研上，用國產軟硬件代替國外產品，產出更多國產化軟硬件教學科研實踐經驗。

基于上述實踐，東南大學總結了以下自主、開源軟件生態建設相關建議：

制定規范性的指導，保證持續一致的國產化平臺迭代改進

統一規劃關鍵核心軟件攻關工程，充分發揮高校科研優勢

繼續加強企業和高校人才培養對接

加大宣傳和推廣國產軟件力度

增強國產硬件的軟件配套

給高校提供教學科研版本的軟硬件及相關資料

目前，東南大學依托網絡空間安全學院已經成立了OpenHarmony技術俱樂部，該俱樂部將成為OpenHarmony開源社區技術生態建設的重要載體和平臺。在科研基礎上，網絡空間安全學院提供了一流的科研平臺，有多個國家級、省級重點實驗室和工程研究中心；在師資上，專職教師近八十人，其中正高20+，副高30+，近兩年引進人才30+，計算機學院、信息學院、等校內兼職導師90+，專碩研究生校外企業指導教師30+；在生源上，網絡空間安全學院年招生數650人，其中本科生150人、碩士生400人、博士生100人，招生規模位居全國網絡安全學院首位，在校生近2000人，學生規模在校內居前三位。

東南大學網絡空間安全學院已經基于項目發布了多個開源軟件，并積極參與國際科研和開發社區活動：（1）與華為合作的Mediator項目在IETF hackathon 112上進行了公開演示；（2）由學院SUS戰隊開發的geacon_pro項目獲得了安全領域重要的404星鏈計劃贊助；（3）以東南大學網絡空間安全學院身份加入OpenKylin等多個開源組織。

未來，期待在東南大學OpenHarmony技術俱樂部這一重要載體和平臺的作用下，將緊密圍繞OpenHarmony項目群技術指導委員會（TSC）定期對外發布的難題，并結合東南大學已有的工作成果和優勢，進一步促進OpenHarmony技術生態以及自主、開源軟件生態的繁榮發展。

E N D

審核編輯 黃宇