演讲嘉宾 | 程 光

回顾整理 | 廖 涛

排版校对 | 李萍萍

嘉宾简介

程光,东南大学特聘教授,现任网络空间安全学院执行院长、计算机网络和信息集成教育部重点实验室主任、网络空间国际治理研究基地主任、江苏省泛在网络安全工程研究中心主任、江苏省网络空间安全高校联盟理事长、江苏省网络空间安全学会理事长、中国指挥控制学会网络空间安全专委会副主任、中国计算机学会互联网专委会副主任、江苏省计算机学会副理事长、科技部网络空间治理和安全领域“十四五”规划专家等学术兼职。研究方向网络流量安全分析、主动防御、内生安全等,主持承担国家重点研发、国家自然基金、中央网信办专项等科研项目40余项。获网络安全优秀教师、国家教学成果一等奖,牵头获2021年江苏省科技一等奖、2014年江苏省科技二等奖。发表学术论文100余篇,出版专著8部,培养研究生100余人。

内容来源

第一届开放原子开源基金会OpenHarmony技术峰会——OpenHarmony高校技术俱乐部分论坛

开源生态是科技创新发展的关键驱动力,对我国核心技术自主可控有重要意义。如何建设自主、开源软件生态,目前已有哪些成果呢?东南大学教授、网络空间安全学院院长程光在第一届OpenHarmony技术峰会上进行了精彩分享。

01

自主与开源软件发展现状

开源社区在推动开源软件发展的过程中起着巨大的作用。我国开源软件产业相较于欧美发达国家起步相对较晚,主要有以下3个特点:

  • 国产化软件市场占比增速较快,但部分关键基础软件占比仍然较低:(1)近年来,国产化软件市场占比增速较快,越来越多的单位和个人开始使用国产化软件,整体使用率上升;(2)部分关键基础软件占比过低,主要市场份额仍然被微软、谷歌、甲骨文、IBM、Oracle龙头企业等垄断;(3)以中间件行业为例,2021年国内五大中间件厂商市场占比仅15%,过半市场份额被IBM与Oracle瓜分。

  • 使用场景与单位以敏感单位为主体:(1)国产化软件的主要使用场景,目前仍以党政、金融、电信、军工、电力为主;(2)国产化软件在传统行业和中小型企业的使用率较低;(3)以数据库行业为例,国产数据库服务市场目前主要集中在金融、电信、政务、制造和交通五个领域。

  • 部分领域快速成长:(1)国产化软件在近十年整体市场占有率从5%上升至50%左右,其中云计算服务国产化占比超过90%;(2)国产化托管平台Gitee已经成长为世界范围内规模排名第二的代码托管平台。

02

自主与开源软件存在的安全隐患

目前,自主与开源软件普遍存在供应链风险、法律风险和技术风险。

供应链风险:国产化软件部分是依赖国外软件或者采用开源软件进行二次开发而成,仍然存在供应链“卡脖子”的问题或者技术安全问题。

法律风险:(1)在自主与开源软件的开发中,可能有意或者无意违反开源许可证。例如,使用者违反开源许可证的规定使用开源软件;各许可证的规则不同,导致开源许可证的兼容性风险,比如Apache 2.0与GPL 2.0许可证不兼容,不能将遵循Apache 2.0的开源代码与遵循GPL 2.0的开源代码合并在一起。部分开源软件的开源许可协议会进行修改。(2)未遵守开源许可证可能引起企业商誉受损或者法律风险。例如,2021年SeaweedFS作者Chris Lu发文谴责国内某单位,表示其项目使用了他的开源代码,但是没有根据Apache 2.0协议的许可条款添加引用说明。

技术风险:根据奇安信2021年的报告,3354个国内企业软件项目中,平均每个项目使用了127个开源软件,存在已知开源软件漏洞的项目占比86.4%,存在容易利用的漏洞的项目占比77.0%,平均每个项目存在69个已知开源软件漏洞,高于前一年度的66个,最多的软件项目存在1555个已知开源软件漏洞。十类典型缺陷的总体检出率为73.5%,远高于2020年的56.3%。例如,开源的Java日志框架Apache Log4j2出现的CVE-2021-44228问题,导致全球近一半企业受到影响,该漏洞可以实现远程提权,使得凡是包含log4j开源组件的项目均无秘密可言。任何一款开源软件曝出严重漏洞,其影响可能都会大过Log4j2的“Log4Shell”漏洞。

此外,国内大部分网络安全研究、大数据分析和人工智能研究的底层科研平台都使用国外软件和开源库。根据shodan.io的统计结果显示,在中国有8300多个Hadoop集群的50070端口暴露在公网上,黑客能够利用这些暴露在公网上的端口,达到数据勒索的目的,面临安全风险。

综上所述,国内大部分的底层科研平台都使用的国外软件和开源库,但国外的软件随时可能被禁用,甚至被官方植入后门,鱼龙混杂,可能存在隐患。开展国产化相关平台的研究、开发与推广应用工作,实现科研上的自主与安全刻不容缓。其中,建设自主、开源软件生态是关键问题。

03

东南大学自主、开源软件生态建设实践和建议

东南大学网络空间安全学院近年来积极参与自主、开源软件生态建设,主要做了以下几方面工作:

学院师生广泛创建、参与开源社区:(1)网络空间安全学院依托于科研教学平台,创建了21个开源社区,加入7个SIG特别兴趣组,参与学生人数达400+人,涉及可信人工智能、工程漏洞挖掘、智能计算与安全、区块链公平交易以及人工智能安全等领域;(2)网络空间安全学院持续深耕安全领域,被30+个国家研究人员广泛参与和下载。

联合企业合作,规划共建全方位课程培养人才:目前已经与华为公司规划共建了包括《计算机网络/数据通信》、《网络安全》以及《AI for Network》等在内的共计11门课程,同时,华为公司也为共建课程提供了丰富的支撑资源,如软硬件平台、课程资源包等。

推进国产化软硬件替代,掌握教学科研主动权:在计算机课程、编程语言类课程、计算机网络类课程、基础软件相关课程以及操作系统类课程等教学科研上,用国产软硬件代替国外产品,产出更多国产化软硬件教学科研实践经验。

基于上述实践,东南大学总结了以下自主、开源软件生态建设相关建议:

  • 制定规范性的指导,保证持续一致的国产化平台迭代改进

  • 统一规划关键核心软件攻关工程,充分发挥高校科研优势

  • 继续加强企业和高校人才培养对接

  • 加大宣传和推广国产软件力度

  • 增强国产硬件的软件配套

  • 给高校提供教学科研版本的软硬件及相关资料

目前,东南大学依托网络空间安全学院已经成立了OpenHarmony技术俱乐部,该俱乐部将成为OpenHarmony开源社区技术生态建设的重要载体和平台。在科研基础上,网络空间安全学院提供了一流的科研平台,有多个国家级、省级重点实验室和工程研究中心;在师资上,专职教师近八十人,其中正高20+,副高30+,近两年引进人才30+,计算机学院、信息学院、等校内兼职导师90+,专硕研究生校外企业指导教师30+;在生源上,网络空间安全学院年招生数650人,其中本科生150人、硕士生400人、博士生100人,招生规模位居全国网络安全学院首位,在校生近2000人,学生规模在校内居前三位。

东南大学网络空间安全学院已经基于项目发布了多个开源软件,并积极参与国际科研和开发社区活动:(1)与华为合作的Mediator项目在IETF hackathon 112上进行了公开演示;(2)由学院SUS战队开发的geacon_pro项目获得了安全领域重要的404星链计划赞助;(3)以东南大学网络空间安全学院身份加入OpenKylin等多个开源组织。

未来,期待在东南大学OpenHarmony技术俱乐部这一重要载体和平台的作用下,将紧密围绕OpenHarmony项目群技术指导委员会(TSC)定期对外发布的难题,并结合东南大学已有的工作成果和优势,进一步促进OpenHarmony技术生态以及自主、开源软件生态的繁荣发展。

演讲PPT:https://docs.qq.com/pdf/DQnFsRldKcU51TmtP

声明:本文来自OpenHarmony TSC,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。