一、简介
2025年4月,国家发改委明确提出“以新发展理念引领、以科技创新为驱动、以信息网络为基础、以高质量发展需求为导向、提供数字化转型、数字化转型等服务的基础设施体系”。智能化升级、集成创新。” ”,界定了“新基建”的概念范围,包括信息基础设施、融合基础设施、创新基础设施等。“新基建”是新一代信息通信技术与传统基础设施深度融合,呈现出高度融合等显着特征。网络化、数字化、智能化。数字经济时代,“新基建”将加速虚拟空间与物理空间的全面融合。在推动数字经济快速发展的同时,面临的安全风险也从传统的网络安全扩展到社会现实生活。
“新基建”虽然涉及多个领域,但其主要功能组件包括三部分:底层硬件设备、调度处理的软件程序以及上层产生的信息数据。无论是硬件设备的控制,还是生产运行信息数据的控制,都离不开基础软件程序的支撑。毫无疑问,软件程序将成为“新基建”的核心要素,软件代码将成为新基建的基础设施。安全直接影响“新基建”的基础安全。
2、开源软件现状分析
随着全球信息化发展趋势的不断融合,国家或企业信息系统的产品来源更加多元化,软件程序的供应链也变得更加复杂。
一般来说,软件程序主要来源于自主研发、购买商业产品、使用开源软件或采用软件外包开发。据公司统计,自研软件的代码约有30%~70%使用了第三方代码,且大多以开源组件、商业或外包共享库的形式存在。信息技术分析公司坚信,大多数现代软件是“组装”的,而不是“开发的”。今天的软件开发过程类似于早期的工业生产活动。它是以开源软件为原材料的。在此基础上,根据实际业务需求和应用场景,添加相对独立的业务代码,最终“组装”起来,打造出一套软件系统。这种敏捷开发方式虽然在一定程度上提高了软件系统开发的效率,但没有充分考虑其使用的基础开源组件是否安全可靠,这给软件系统的安全性和可控性带来了巨大的挑战。
近年来,以广泛使用的开源基础组件等为代表的高危漏洞频频出现,不同国家和企业因此遭受了不同程度的损失。这也促使各国和企业提高对软件供应链、开源软件、关键信息基础设施的认识。对设施中软件系统安全性的关注程度。
(一)开源软件安全形势极其严峻
事实上,开源软件的安全形势已经日益严峻。研究报告显示,2019年披露的开源软件CVE漏洞总数为968个,是此前最高数量的两倍多。 2025年前三个月新增CVE漏洞数量也创历史新高。另外,从美国国家漏洞数据库(NVD)对开源软件的漏洞管理情况来看,开源软件漏洞收录的滞后性比较严重。从该漏洞首次公开披露到该漏洞被纳入NVD,平均需要54天,最长的时间为54天。历时1817天。攻击者完全有可能利用这个时间窗口来开发和部署漏洞。其中,武器化程度最高的开源软件包括、、、、、、JBoss。使用存在漏洞的开源软件的企业将因无法及时接收来自NVD的安全警报而完全面临安全风险。
(二)开源软件产生的蝴蝶效应不容乐观
根据奇安信代码安全实验室公布的数据,开源软件源代码安全缺陷密度为14.22/KLOC,高危安全缺陷密度为0.72/KLOC,即存在14个安全缺陷每 1,000 行开源软件代码中。每 1,400 行开源软件代码中就有 1 个高危安全漏洞。可见,开源软件的安全状况极其不容乐观。
另外,由于开源软件之间的依赖关系非常复杂,其带来的安全问题引起的蝴蝶效应也会变得非常巨大。如果某个开源软件中出现0Day漏洞,将会导致与其有依赖关系的所有其他软件系统中也出现同样的0Day漏洞。漏洞的攻击面会产生由点到面的爆炸性放大效应。
(三)开源软件供应链可能隐藏高级网络威胁
正是由于开源软件的开源特性,其天然DNA中就缺乏安全监管机制。上传开源软件的人可能是个人,也可能是组织,也可能是某个别有用心的机构。因此,开源软件很可能不是“免费午餐”,可能会被植入高级恶意程序代码,通过数据加密将恶意流量(如窃取用户敏感信息或远程控制命令)混淆为正常流量。加密数据流量以逃避安全检测。这种依靠木马以软件供应链为突破口的攻击方式,直接将攻击程序写入开源软件中,大大降低了攻击者从外到内的攻击成本,也将成为下一个网络企业面临的安全问题。风口。
(四)开源软件仍处于管理盲区
开源软件目前处于企业信息化管理的盲点,因为企业使用的各类软件,无论是自主开发还是外包服务,都更倾向于验证功能需求而忽视源代码的安全性和基本开放性。使用的源组件。组件之间的属性和依赖关系。
软件供应商的开发团队使用开源软件非常随意,没有建立完整的开源软件使用管理机制。开发者对于开源软件基本处于“只用不说”的状态,项目负责人无法掌握开发团队使用的信息。特定的开源软件清单使得企业甲方无法获知正在使用的软件系统是否包含开源软件。软件产品一旦交付,开源软件中的漏洞也会给整个信息系统的安全运行带来巨大的安全挑战。
3. 开源软件治理措施
当前,国家和企业已逐步进入数字化时代。无论是硬件的调度和控制,还是上层信息数据的存储、处理和利用,开源软件已经成为构建虚拟空间和物理实体的重要粘合剂,应该作为“新基础设施”。 “充分关注核心基础设施,加强开源软件安全治理措施研究。
(一)建立开源软件审核管理机制
没有规则就没有规则。企业和软件开发商应当建立开源软件审查和管理机制,严格落实开源软件全生命周期的安全使用和风险控制。
(一)建立开源软件顶层审查管理机制。建立相应的组织架构,明确管理职责,结合企业实际特点制定审核管理制度和流程。
(二)建立开源软件安全准入机制,制定评估要点,持续评估其生命周期内的完整性、安全性和法律风险,实时掌握开源软件资产及其关联软件系统的安全风险状况。
(3)利用开源软件自动化工具持续检测和发现开源软件资产,持续跟踪开源软件漏洞情报。
(四)建立开源软件漏洞缓解工作机制,研究开源软件漏洞缓解措施,开展应急响应,及时规避网络安全风险。
(五)建立开源软件运维管理平台,按照评审管理制度流程实施开源软件全生命周期的运维管理,跟踪记录开源软件动态,改进开源软件治理的效率。
(二)推动源代码安全保障切实可行的办法落地
企业使用开源软件面临的首要问题仍然是代码的安全性。软件源代码安全保障实践的代表有微软提出的安全开发生命周期(SDL)和推出的基于敏捷开发的方法。其中,SDL将安全要素嵌入到软件开发和运维的七个阶段,包括培训、需求分析、系统设计、编码实施、测试验证、发布和响应。通过设计一系列可集成的控制措施,增加安全监控、跟踪和分析,将安全融入敏捷流程,在保持“敏捷”和“协作”初衷的同时,赋予每个团队安全能力。
无论SDL如何,您都可以看到安全位置实际上已向左移动,并且它发生在所有流程中。
(1)安全需求分析:应根据实际业务需求和行业标准规范,确定软件系统的安全需求,如分级防护、分级防护等,作为后续安全设计的输入。
(2)安全设计:以安全需求分析文档为基础,以减少攻击面为原则,重点关注用户输入验证、异常处理、身份认证、密码管理、会话安全、访问控制、安全审计、数据脱敏、Web攻击防范等。在软件系统的安全设计方面。
(3)安全编码:使用指定的安全开发工具,严格按照安全设计文档对软件系统进行编码和实现。
(4)安全测试:借助源代码审计、渗透测试、压力测试等综合测试手段,充分验证软件系统的安全性、可用性和完整性。
(5)安全发布:结合实际网络拓扑,合理部署,减少来自网络的攻击面。
(6)安全响应:制定网络安全事件响应计划和处置流程,有效应对网络安全事件。
(三)借助专业力量持续评估开源软件安全风险
企业应引进或利用专业技术力量,不断加强对在用开源软件的安全风险评估。通过定期渗透测试、代码安全分析或建设网络靶场,持续动态地验证和评估开源软件的可靠性、可用性和安全性,提高开源软件的安全应用能力。
(四)合作建立开源软件漏洞信息数据库
现有的CVE/CPE体系和NVD等漏洞库已经不能满足开源软件安全治理的需求。要创新开源软件漏洞情报研究、共享、共治机制,合作建立开源软件漏洞情报库。
4. 结论
在企业数字化转型过程中,开源软件可以降低成本、提高效率,让企业更加专注于实现数字化业务需求。已成为企业构建数字空间的基础设施。开源软件已经站在企业数字化转型的舞台中心,其安全性直接影响数字空间的安全。因此,开源软件的安全性应该得到充分的重视和重视。迫切需要对开源软件进行全生命周期管理,为企业提供更好的安全保障。保障数字安全发展。
(原文发表于《机密科技》杂志2025年7月号)
# 东莞seo企业
# 将会
# 国产seo综合
# seo暴利赚钱
# 联盟推广精细化营销方案
# 实惠的seo推广外包
# 其他网站推广如何做
# 钛白粉推广营销
# 奉贤区营销推广找哪家
# 上饶高端seo优化服务
# 滁州外贸营销网站建设
# 多个
# 中山网站建设推广方案
# 品质网站推广概况
# 南宁网站推广优化
# 龙溪网络推广营销中心
# 网站建设优化渠道电话
# 外贸网站后台优化seo
# 营销推广专业委员会
# 营销推广模式微信图片
# 海林企业网站优化
# 荷兰瓷器网站推广方案
# 可用性
# 新基建
# 数字经济时代的基础设施体系与安全风险
# 开源
# 基础设施
# 软件系统
# 源代码
# 供应链
# 管理机制
# 安全保障
# 蝴蝶效应
# 新基建:数字经济时代的基础设施体系与安全风险
# 不容乐观
# 信息系统
# 外包
# 的人
# 由点到面
# 文档
# 也会
# 站在
# 首次
相关文章:
学校网站系统,构建现代教育信息化的桥梁,现代教育信息化桥梁,学校网站系统构建之道
四月新开魔域sf发布网|安装包下载,版本介绍及玩家须知来啦
渭南建网站,助力城市数字化转型,打造智慧城市新篇章,渭南智慧城市新篇章,数字化转型助力网站建设,渭南智慧城市新篇章,数字化转型中的网站建设助力
女生主动加微信背后的多重意涵及应对策略解析
瑞声达助听器:全球知名品牌,专为老人设计,效果超棒
抖音发布2025年中反诈报告,曝光多款仿冒App
涪陵网站建设,打造本地企业线上新名片,涪陵企业线上形象重塑,专业网站建设服务
成都建网站,打造本地化 *** 品牌的新趋势,成都 *** 品牌建设新风向,本地化网站建设崛起
打造个性化空间,个人网站设计模板全攻略,个性化空间定制,个人网站设计模板秘籍大全
武汉网站推广,助力企业互联网营销新篇章,武汉网站推广赋能企业,开启互联网营销新时代,武汉网站推广,引领企业迈向互联网营销新时代
*热点下拉:支持多平台下拉,低成本宣传推广利器
新消费|营销误区系列02:打造调性,如何种草?
网站海外推广策略全解析,开启国际市场的金钥匙,国际市场拓展攻略,揭秘网站海外推广成功之道
镇江网站推广,助力企业拓展市场,提升品牌影响力,镇江企业网站推广新篇章,市场拓展与品牌增值双管齐下
微信右上角+号藏玄机!教你检测好友是删是拉黑?
百度网盘买了超级会员下载仍慢怎么办?这些解决方法请查收
广州建网站,打造企业数字化转型的强力引擎,广州企业数字化转型新引擎,建站赋能未来,广州企业数字化转型新引擎,建站赋能未来之路
济南营销型网站建设,助力企业互联网营销新篇章,济南企业互联网营销新引擎,专业营销型网站建设服务
网站建设工作室,打造个性化企业 *** 门户的专家团队,个性化企业 *** 门户定制专家——网站建设工作室
青岛网站 *** ,打造专业、高效的在线平台,青岛专业高效网站定制服务
徐州网站建设,助力企业互联网转型升级,徐州企业互联网升级新动力,专业网站建设服务
第五人格:荒诞画风与悬疑剧情交织的刺激1V4手游
新型毒品别名成高频词,广东检察机关严打毒品犯罪呈现新特点
长沙专业做网站,助力企业互联网转型新篇章,长沙专业网站建设,助力企业互联网转型再出发
南宁网站推广,助力企业互联网时代乘风破浪,南宁互联网营销新引擎,网站推广助企业扬帆起航
3D建模软件众多,如何选到适合自己的?界面与工具很关键
抖音超火特效:阿丽塔、草莓外,白菜叶敷面膜特效在哪?怎么弄?
李盆,文案届的诗人
百度官网:知名互联网公司的首要信息获取渠道,功能超丰富
企业宣传有妙招:分享经验用案例、问答留言效果好
打造个性空间,装饰网站建设助力家居美学生活,装饰网站建设,打造个性化家居美学生活空间指南
漳州网站 *** ,打造个性化品牌形象,助力企业腾飞,漳州专业网站定制,塑造独特品牌风貌,助推企业飞跃,漳州专业网站定制服务,塑造企业品牌新风貌
中华通网络电话:通话效果一流,拨打方式多样还省钱
今天才知道!微信删除和拉黑区别大不同,别再乱用了
深夜难眠怎么办?这些适合男性观看的内容助你入眠
在互联网快速发展的今天,选择一个合适的网站空间对于建立和维护个人或企业在线平台至关重要。本文将详细介绍如何购买适合的网站空间,并提供一些关键考虑因素,帮助读者做出明智的选择。,如何购买适合的网站空间?
跟女孩聊天,称呼很关键!刚认识、暧昧期这样叫超加分
深圳网站空间,助力企业互联网发展的基石,深圳优质网站空间,企业互联网腾飞之基
地方门户网站系统,构建区域信息枢纽,助力地方经济发展,打造地方信息枢纽,地方门户网站系统助力区域经济发展
江门网站 *** ,打造个性化企业品牌,助力企业腾飞,江门企业品牌腾飞,个性化网站 *** 助力创新营销,江门企业品牌腾飞,个性化网站 *** 助力创新营销
香港警方:近三日拘捕41名社交平台涉毒贩,涉资超百万
#爱奇艺改logo#冲上热搜!原来是生日头像,你想换微信头像吗?
赣州网站 *** ,打造个性化企业 *** 形象,助力品牌腾飞,赣州企业网站定制,塑造独特品牌形象,助力企业飞跃发展
如何恢复vivo手机中的微信聊天记录?这两种方法超简便
免费建立自己的网站,轻松开启 *** 创业之旅,零成本开启 *** 创业,免费搭建个人网站指南,零成本开启 *** 创业,免费搭建个人网站全攻略
撰写一篇关于网站推广方案的文章,需要首先确定主题和目的。本文将探讨如何制定有效的网站推广策略,以吸引更多的访问者并提高转化率。,高效网站推广,制定有效策略提升流量与转化率,高效网站推广,制定有效策略提
手机录音怎么轻松传到微信?一步步教你操作方法
抖音推四大IP活动,升级扶持计划助力生活垂类创作者
莱州网站建设,助力企业数字化转型,开启 *** 营销新篇章,莱州企业数字化转型新引擎,网站建设引领 *** 营销新时代
早安心语正能量励志:免费订阅,愿你每天开心平安
相关栏目:
【
广告资讯90366 】
【
广告推广18483 】
【
广告优化154267 】
【
广告营销46464 】