當(dāng)前，國際開源技術(shù)生態(tài)正經(jīng)歷從技術(shù)協(xié)作平臺向地緣競爭工具的根本性轉(zhuǎn)變，美國將開源技術(shù)作為其戰(zhàn)略競爭工具，導(dǎo)致原本中立的“開源無國界”原則逐漸被“技術(shù)主權(quán)化”趨勢取代。在此背景下，我國亟須針對相關(guān)重點領(lǐng)域開展技術(shù)依賴度評估，健全信創(chuàng)產(chǎn)業(yè)政策，通過政策引導(dǎo)與市場機(jī)制的雙重驅(qū)動，培育自主開源社區(qū)，構(gòu)建自主開源生態(tài)系統(tǒng)。

一、開源技術(shù)地緣化趨勢加劇，觸發(fā)安全警示

隨著地緣政治競爭不斷加劇，新興科技領(lǐng)域已成為大國博弈的關(guān)鍵焦點，開源技術(shù)及其應(yīng)用生態(tài)的地緣政治屬性日益凸顯。

（一）“開源武器化”成為數(shù)字時代大國博弈新界面

近年來，“開源無國界”理念逐漸被拋棄，“開源武器化”應(yīng)用事件層出不窮。其中，比較典型的方式包括以下三種。一是針對性技術(shù)斷供。由俄羅斯工程師開發(fā)的Nginx作為全球最流行的Web服務(wù)器之一，盡管其本身是開源軟件，然而被美國F5公司收購后，主要維護(hù)團(tuán)隊由美國公司掌控。根據(jù)2025年4月的Netcraft排名，Ngnix在全球市場占比達(dá)20.79%，位列市占率榜單之首。在俄羅斯，許多政府、金融和媒體網(wǎng)站依賴Nginx作為反向代理和負(fù)載均衡工具。報道顯示，Nginx在俄羅斯的市場滲透率曾高達(dá)76.8%。烏克蘭危機(jī)爆發(fā)后，F(xiàn)5公司對旗下Nginx開源項目實施“禁俄”區(qū)域性封鎖，導(dǎo)致俄羅斯部分金融機(jī)構(gòu)的在線服務(wù)因配置更新中斷而出現(xiàn)不穩(wěn)定或短暫癱瘓，俄羅斯最大的門戶網(wǎng)站和電子郵件提供商Rambler因無法獲取安全補(bǔ)丁和商業(yè)支持，出現(xiàn)大量漏洞風(fēng)險和性能問題。二是定向“投毒”攻擊。開源項目通常以開發(fā)效率為核心目標(biāo)，其維護(hù)者在設(shè)計存儲庫時往往優(yōu)先考慮便捷性。然而，這種松散協(xié)作的開發(fā)模式缺乏系統(tǒng)性的安全審核機(jī)制，導(dǎo)致代碼安全防護(hù)存在明顯漏洞。攻擊者正是利用這一薄弱環(huán)節(jié)，通過植入后門或惡意代碼，對金融、能源系統(tǒng)等特定國家關(guān)鍵基礎(chǔ)設(shè)施實施精準(zhǔn)打擊。例如，2022年3月GitHub平臺公告顯示，Node-ipc開源軟件維護(hù)者通過在NPM軟件包中嵌入可定向刪除俄羅斯、白俄羅斯等國用戶數(shù)據(jù)的代碼完成“投毒”攻擊。三是變更許可協(xié)議轉(zhuǎn)“閉源”。2024年3月，開源軟件Redis突然宣布調(diào)整開源協(xié)議，致使全球所有部署該軟件的系統(tǒng)面臨法律合規(guī)風(fēng)險。受此沖擊，我國金融、電信等行業(yè)核心系統(tǒng)不得不緊急制定數(shù)據(jù)遷移方案。越來越多的案例表明，開源軟件的政治化、武器化運(yùn)用已經(jīng)成為當(dāng)前大國博弈的新手段。

（二）開源平臺已被納入美國技術(shù)管制框架并用于對外制裁

開源平臺表面上秉持開放、自由理念，實際運(yùn)營始終受制于國家司法管轄權(quán)。部分國家依托其在有關(guān)領(lǐng)域的技術(shù)優(yōu)勢、市場優(yōu)勢，操縱、管控開源軟件及相關(guān)平臺，使之成為服務(wù)大國競爭的新型戰(zhàn)略威懾工具，對他國國家安全構(gòu)成重大威脅。種種跡象表明，美國已將開源軟件納入技術(shù)管制框架，使之成為實施對外制裁的一個有力的新工具。一是平臺管制。2019年7月，全球最大開源軟件托管平臺GitHub單方面凍結(jié)特定地區(qū)開發(fā)者賬號，主要面向古巴、朝鮮、伊朗、敘利亞等被美國制裁國家的開發(fā)者，其CEO表示，“GitHub受美國貿(mào)易法約束，就像任何在美國開展業(yè)務(wù)的公司一樣”。二是生態(tài)排斥。美國商務(wù)部于2025年1月將中國人工智能（AI）公司智譜（Z.ai）及其子公司列入出口管制的“實體清單”。這意味著智譜在獲取先進(jìn)的AI芯片（如英偉達(dá)H100）、使用某些核心底層軟件及參與國際開源協(xié)作方面受到嚴(yán)格限制。換言之，制裁的目的不僅是切斷硬件供應(yīng)，更是試圖將智譜這樣的領(lǐng)先者“踢出”由美國公司主導(dǎo)的全球AI研發(fā)主流生態(tài)圈，包括高端算力平臺、核心算法庫（如CUDA的某些替代方案）以及頂尖研究社區(qū)，從而延緩其發(fā)展步伐。三是政治站隊。烏克蘭危機(jī)爆發(fā)后，Node.js、React.js等國際主流開源社區(qū)作出了集體封禁俄羅斯開發(fā)者賬號的政治表態(tài)，再次印證“開源有國界”。

二、對國際開源軟件的高度依賴，成為我國面臨的嚴(yán)峻挑戰(zhàn)

當(dāng)前，我國關(guān)鍵信息基礎(chǔ)設(shè)施和各行業(yè)重要信息系統(tǒng)普遍采用國際開源軟件，但其安全漏洞頻發(fā)、外部供應(yīng)鏈易受管制等特性，使得國家信息安全領(lǐng)域面臨嚴(yán)峻挑戰(zhàn)。

（一）開源軟件廣泛進(jìn)入關(guān)鍵行業(yè)和領(lǐng)域

在關(guān)系我國國家安全及國民經(jīng)濟(jì)命脈的重要行業(yè)、企業(yè)及業(yè)務(wù)板塊的信息系統(tǒng)中，開源軟件部署數(shù)量巨大，規(guī)?；瘧?yīng)用特征不容忽視?！?/span>2025中國軟件供應(yīng)鏈安全分析報告》指出，國內(nèi)企業(yè)軟件開發(fā)中開源軟件應(yīng)用廣泛，且使用數(shù)量持續(xù)增長，平均每個軟件項目使用168個開源軟件。

以金融行業(yè)及相關(guān)企業(yè)為例，該領(lǐng)域?qū)﹂_源技術(shù)的依賴已從早期的工具層面向業(yè)務(wù)系統(tǒng)核心領(lǐng)域延伸，形成了全方位、多層次的應(yīng)用格局。中國信息通信研究院《金融行業(yè)開源生態(tài)深度研究報告》顯示，我國金融機(jī)構(gòu)中超過90%的企業(yè)引入了開源軟件，近四成金融機(jī)構(gòu)使用的開源軟件/組件量級已超過1000個，中間件（90.63%）、大數(shù)據(jù)（87.5%）、數(shù)據(jù)庫（87.5%）、工具（78.13%）等是開源軟件應(yīng)用的主要方向，這些領(lǐng)域恰好構(gòu)成了金融業(yè)務(wù)的數(shù)據(jù)處理、交易結(jié)算和風(fēng)控核心能力基礎(chǔ)。調(diào)研顯示，某大型銀行使用的40個常用系統(tǒng)中，共計部署131套國外開源消息中間件，涉及合規(guī)管理、風(fēng)險管理、客戶信息管理、財務(wù)管理、科技安全管理等多個關(guān)鍵業(yè)務(wù)場景；某央企集團(tuán)公司的信息系統(tǒng)中共部署1585套開源中間件，廣泛覆蓋財務(wù)、審計、檔案、郵件、協(xié)同辦公、下屬子公司等各類基礎(chǔ)平臺和重要業(yè)務(wù)系統(tǒng)。

（二）開源軟件高危漏洞風(fēng)險

開源組件漏洞可能成為系統(tǒng)性風(fēng)險的傳導(dǎo)通道，攻擊者可借此實施數(shù)據(jù)竊取、業(yè)務(wù)中斷等惡意行為，給信息系統(tǒng)安全造成極大隱患。國家信息安全漏洞共享平臺（CNVD）公開數(shù)據(jù)顯示，涉及7款主流開源中間件產(chǎn)品的漏洞共有近600個，其中，中高危漏洞占比高達(dá)86.1%（高危24.8%、中危61.3%、低危13.9%）。2024年，奇安信代碼安全實驗室對2344個國內(nèi)企業(yè)自主開發(fā)的軟件項目的源代碼進(jìn)行了安全缺陷檢測，發(fā)現(xiàn)國內(nèi)企業(yè)軟件項目源代碼整體缺陷密度持續(xù)升高，達(dá)到了13.26個/千行，存在已知開源軟件高危漏洞、超危漏洞、容易利用漏洞的項目占比分別為73.0%、57.4%和57.5%，整體來看風(fēng)險依然處于較高水平，軟件項目存在老舊開源軟件漏洞的狀況沒有改善，多個項目中依然存在二十年前的開源軟件漏洞。這意味著我國企業(yè)在享受開源技術(shù)帶來的敏捷性和成本優(yōu)勢的同時，也承擔(dān)著巨大的安全風(fēng)險。2023年，新思科技發(fā)布的《開源安全與風(fēng)險分析報告》（OSSRA）顯示，金融行業(yè)98%的代碼庫中包含開源代碼，平均每個代碼項目中開源代碼占比接近75%，這種深度依賴使得任何開源組件的安全漏洞都可能對金融系統(tǒng)的穩(wěn)定運(yùn)行構(gòu)成威脅。2021年披露的Apache Log4j2.x遠(yuǎn)程代碼執(zhí)行漏洞，因其在各類系統(tǒng)中的深度集成，導(dǎo)致全球范圍內(nèi)出現(xiàn)系統(tǒng)性安全危機(jī)，甚至可使一個國家的整體信息系統(tǒng)暴露于風(fēng)險之中。

（三）開源供應(yīng)鏈“斷供”風(fēng)險

目前，國際主流開源社區(qū)、代碼托管平臺（如GitHub）及開源基金會（如Apache）多數(shù)受美國法律管轄，并明確遵守美國出口管制條例。這意味著，美國可綜合運(yùn)用各類政治、經(jīng)濟(jì)、法律手段，通過出口管制和司法管轄權(quán)對開源生態(tài)施加影響。例如，調(diào)整政策將特定開源項目納入管制范圍，直接切斷我國對關(guān)鍵開源平臺的訪問權(quán)限；即使多數(shù)公開源代碼不受直接限制，但要求涉及加密等功能時仍需備案，導(dǎo)致我國企業(yè)和用戶無法正常使用或參與相關(guān)項目；根據(jù)司法管轄權(quán)條款，相關(guān)糾紛需由美國法院裁決，大幅增加我國企業(yè)的維權(quán)難度，中國公司托管在海外的開源代碼資產(chǎn)可能也會面臨凍結(jié)風(fēng)險。我國核心產(chǎn)業(yè)信息系統(tǒng)對國際開源生態(tài)存在高度依賴，這種“技術(shù)依賴陷阱”極有可能在面臨“斷供”情況時，遭遇多重風(fēng)險挑戰(zhàn)。

一是業(yè)務(wù)中斷與癱瘓風(fēng)險。由于無數(shù)關(guān)鍵基礎(chǔ)設(shè)施、行業(yè)和企業(yè)的核心業(yè)務(wù)系統(tǒng)和服務(wù)都構(gòu)建在國際開源軟件之上，突然“斷供”就無法獲取安全更新、功能補(bǔ)丁，甚至無法合法使用，直接威脅業(yè)務(wù)的連續(xù)性和穩(wěn)定性。二是法律與合規(guī)風(fēng)險。如果“斷供”伴隨著許可證變更，例如，從寬松的Apache 2.0變更為限制性強(qiáng)的《Affero通用公共許可證》甚至商業(yè)許可證，繼續(xù)使用可能構(gòu)成侵權(quán)，面臨法律訴訟和巨額賠償。三是巨大的遷移成本。被迫更換一個已經(jīng)深度集成到系統(tǒng)中的基礎(chǔ)軟件，將產(chǎn)生巨額遷移成本。這不僅會面臨因數(shù)據(jù)格式不兼容而致使數(shù)據(jù)丟失或損壞的數(shù)據(jù)遷移風(fēng)險，還需投入大量工程師人力與時間開展軟件重寫或替換工作，以及對員工進(jìn)行再培訓(xùn)等。四是數(shù)字安全風(fēng)險急劇上升。開源社區(qū)的核心價值之一在于全球開發(fā)者協(xié)同維護(hù)并發(fā)現(xiàn)漏洞，由于“斷供”后相關(guān)主體無法及時獲取安全補(bǔ)丁，從而被迫暴露于已知漏洞的攻擊風(fēng)險中，極有可能引發(fā)數(shù)據(jù)泄露、勒索軟件攻擊等嚴(yán)重安全事件。2022年6月，美國商務(wù)部工業(yè)和安全局出臺有關(guān)漏洞信息管制的網(wǎng)絡(luò)安全新政策，將中國劃歸至D類（未經(jīng)許可，禁止美國實體向中國共享信息安全漏洞），意味著“全球開源社區(qū)漏洞共享機(jī)制”不再對我國用戶無條件開放，單方面中斷了我國與國際開源社區(qū)的安全協(xié)作通道，進(jìn)一步加劇了我國在軟件供應(yīng)鏈安全領(lǐng)域的被動局面。

三、成因分析：自主可控的開源創(chuàng)新生態(tài)尚未建立

我國在開源軟件領(lǐng)域面臨的種種安全風(fēng)險，根源在于國內(nèi)替代生態(tài)尚不成熟，這一系統(tǒng)性缺陷主要體現(xiàn)在核心技術(shù)受制于人、產(chǎn)業(yè)生態(tài)支撐不足、政策保障體系不完善等方面。

（一）國內(nèi)開源生態(tài)自主性薄弱，對外依存度有進(jìn)一步攀升趨勢

盡管國內(nèi)開源軟件社區(qū)也在推進(jìn)中，但國內(nèi)開源生態(tài)仍是國外開源的“次生”產(chǎn)物，自主創(chuàng)新力和技術(shù)主導(dǎo)力總體不高，國內(nèi)開源項目、開源社區(qū)以利用國外開源代碼、依托國外開源社區(qū)為主，二次開發(fā)依賴特征顯著。從存量上看，國外開源軟件產(chǎn)品在我國的壟斷地位尚未打破。國內(nèi)開源產(chǎn)品數(shù)量少，競爭力弱，自主性低，難以打破國外開源產(chǎn)品的市場壟斷。從增量上看，新興場景的國產(chǎn)開源產(chǎn)品供給嚴(yán)重不足。國內(nèi)開源項目主要集中在操作系統(tǒng)、數(shù)據(jù)庫等傳統(tǒng)領(lǐng)域，在人工智能、大數(shù)據(jù)、云計算等新賽道，許多企業(yè)仍奉行“拿來主義”，重上層應(yīng)用場景、輕底層基礎(chǔ)開發(fā)。例如，在大模型中間件等新興領(lǐng)域，國外開源社區(qū)的研發(fā)活躍度和技術(shù)成熟度大幅領(lǐng)先，我國若不加快追趕，未來在相關(guān)領(lǐng)域的對外依存度必將居高難下。

（二）部分信息安全關(guān)鍵領(lǐng)域在國際競爭中仍陷被動，政策覆蓋范圍需進(jìn)一步優(yōu)化

作為基礎(chǔ)軟件的核心構(gòu)成，中間件與操作系統(tǒng)、數(shù)據(jù)庫并稱為基礎(chǔ)軟件“三駕馬車”，共同構(gòu)成數(shù)字基礎(chǔ)設(shè)施的技術(shù)支柱。其中，后兩者已被納入信創(chuàng)政策重點支持范疇，中間件仍為“非關(guān)鍵替換組件”。當(dāng)前，我國中間件產(chǎn)業(yè)正處于邁向強(qiáng)大卻尚未達(dá)成產(chǎn)業(yè)發(fā)展預(yù)期目標(biāo)的關(guān)鍵階段，尚未扭轉(zhuǎn)在國際市場競爭中的被動局面，認(rèn)為“國產(chǎn)中間件產(chǎn)業(yè)已經(jīng)較為成熟無須給予特殊支持”的觀點存在誤區(qū)。事實上，國產(chǎn)中間件產(chǎn)業(yè)體量極小，市場占有率很低。國內(nèi)市場中國產(chǎn)商用中間件的銷售額占比不足10%，五家頭部企業(yè)的年營收總額不足10億元；而在國際知名中間件企業(yè)中，僅Redis公司一家的商業(yè)發(fā)行版產(chǎn)品年營業(yè)額就超1億美元。這種發(fā)展困境源于雙重擠壓：國際廠商通過開源策略實施市場滲透，IBM、Oracle等公司以免費(fèi)開源產(chǎn)品快速占領(lǐng)市場，導(dǎo)致缺乏采購標(biāo)準(zhǔn)約束的國內(nèi)用戶形成路徑依賴；此外，云原生技術(shù)變革帶來新的競爭維度，國內(nèi)廠商在微服務(wù)、容器化等新興中間件領(lǐng)域仍存在技術(shù)空白。倘若不能及時完善產(chǎn)業(yè)政策、加大研發(fā)投入，長此以往，極有可能陷入無國產(chǎn)替代方案可供使用的被動局面。

四、管控開源風(fēng)險的相關(guān)建議

為加強(qiáng)相關(guān)風(fēng)險治理、夯實國家信息安全根基，建議盡快對國際開源軟件的依賴度進(jìn)行系統(tǒng)摸底，大力發(fā)展我國自主可控的基礎(chǔ)軟件“根技術(shù)”和“根社區(qū)”。

第一，深入評估重點行業(yè)企業(yè)及關(guān)鍵基礎(chǔ)設(shè)施開源軟件風(fēng)險。對政府部門、軍隊系統(tǒng)、科研單位開源軟件的普及和使用情況進(jìn)行系統(tǒng)摸底，詳細(xì)梳理關(guān)系國家安全及國民經(jīng)濟(jì)命脈的重點行業(yè)、核心企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施中使用開源軟件種類和數(shù)量，重點掌握黨政機(jī)關(guān)、軍事國防、重大科研系統(tǒng)中開源軟件使用及對外依賴情況。

第二，加快研究制定更為明確和嚴(yán)格的開源軟件供應(yīng)鏈安全管理標(biāo)準(zhǔn)。我國已于2024年11月開始實施《網(wǎng)絡(luò)安全技術(shù)軟件供應(yīng)鏈安全要求》（GB/T 43698-2024）、《網(wǎng)絡(luò)安全技術(shù)軟件產(chǎn)品開源代碼安全評價方法》（GB/T 43848-2024）等國家標(biāo)準(zhǔn)，為使用國外開源軟件的合規(guī)管理提供了初步指引。但這些標(biāo)準(zhǔn)仍為“推薦性”國標(biāo)，社會“自愿性”實踐的效果有待檢驗。因此，需在國家層面發(fā)布統(tǒng)一使用指南，對開源軟件的引入、使用、維護(hù)、審計等關(guān)鍵環(huán)節(jié)給出詳細(xì)指引，制定嚴(yán)格篩選標(biāo)準(zhǔn)和評估流程，規(guī)范使用方式和權(quán)限管理，建立有效維護(hù)機(jī)制，設(shè)立定期審計和專項審計相結(jié)合制度，持續(xù)提升開源軟件供應(yīng)鏈安全管理水平。

第三，補(bǔ)齊政策短板，穩(wěn)步降低對國外開源軟件的依賴，加快重點領(lǐng)域國產(chǎn)化替代。2023年12月，財政部正式發(fā)布了操作系統(tǒng)等七大類基礎(chǔ)軟硬件政府采購需求標(biāo)準(zhǔn)，為黨政機(jī)關(guān)和事業(yè)單位的基礎(chǔ)軟硬件采購提供了明確的標(biāo)準(zhǔn)指導(dǎo)，國產(chǎn)化替代工作不斷取得新突破，但仍存在政策短板。例如，信息系統(tǒng)的“腰部”中間件并未列入其中，中間件作為一種中間層基礎(chǔ)軟件，處于操作系統(tǒng)之上、應(yīng)用程序之下，起著承上啟下的作用，以保障信息系統(tǒng)的高效運(yùn)行。中間件所存在的安全脆弱性，會對國家信息安全體系的整體安全性構(gòu)成直接威脅。建議進(jìn)一步完善信創(chuàng)政策，將中間件等政策遺漏點納入政府采購標(biāo)準(zhǔn)，明確關(guān)鍵信息基礎(chǔ)設(shè)施中間件國產(chǎn)化替代要求，確保中間件和操作系統(tǒng)、數(shù)據(jù)庫“三駕馬車”齊頭并進(jìn)。

第四，大力發(fā)展我國主導(dǎo)的基礎(chǔ)軟件“根技術(shù)”和“根社區(qū)”。高度重視自主培育開源軟件“根社區(qū)”的戰(zhàn)略價值，加快我國自主研發(fā)開源軟件的進(jìn)程，徹底擺脫受制于人的局面和斷供風(fēng)險。一是將自主開源生態(tài)建設(shè)納入國家戰(zhàn)略布局。開源軟件是大國科技競賽的重要陣地，美國早在2002年就將開源軟件上升為國家戰(zhàn)略，牢牢掌握國際三大開源社區(qū)和全球最大開源代碼托管平臺控制權(quán)。2021年，我國開源軟件首次被納入國家級戰(zhàn)略規(guī)劃。盡管起步相對較晚，但已步入規(guī)范化發(fā)展軌道。建議相關(guān)部門制訂專項支持計劃，助力重要開源軟件實現(xiàn)快速成長，縮短追趕進(jìn)程。二是加強(qiáng)對開源項目的支持。開源主體方面，鼓勵更多企業(yè)和機(jī)構(gòu)參與我國開源生態(tài)建設(shè)，維持開源社區(qū)的主體數(shù)量與活躍度處于高速增長態(tài)勢；開源項目方面，大力支持新創(chuàng)的開源項目，多措并舉構(gòu)建開源項目的高質(zhì)量孵化體系，不斷增加開源項目的數(shù)量和質(zhì)量；國際影響力方面，培育一批具有全球影響力的開源項目，增強(qiáng)國際用戶對我國開源項目的認(rèn)可度和使用黏性，逐步提高我國開源社區(qū)的國際吸引力。三是完善社會參與的激勵制度。開源模式具有很強(qiáng)的公益性和外部性，激勵不足將導(dǎo)致社會資本失去投入動力、社會公眾缺乏參與熱情、開源社區(qū)失去創(chuàng)新活力。因此，可通過揭榜掛帥、懸賞制、后期資助等多種方式，對作出突出貢獻(xiàn)的企業(yè)和團(tuán)隊予以精神和物質(zhì)雙重獎勵。

（本文刊登于《中國信息安全》雜志2026年第1期）