\u3000\u3000
科学技術日報記者劉園
今日、何個のソフトウェアを開きましたか。
私达はソフトウェアに起こされて、ソフトウェアでタクシーに乗って、外食して、ショッピングして、各种のソフトウェアを借りて仕事を展开して、夜またソフトウェアの中の音楽を闻いて寝ます。さまざまなソフトウェアが便利で、迅速で、効率的で、面白くて、面白くて、私たちに手を放さないようにします。しかし、それらは安全ですか?
今年の全国両会では、多くのインターネット分野からの代表委員たちが警鐘を鳴らした。ソフトウェアが触れることができる今日、その背後にある安全リスクの防止が急がれる。
平均コードライブラリあたり約158個の脆弱性
「世界中の90%以上のクラウドサーバオペレーティングシステム、80%以上のモバイルオペレーティングシステムは、オープンソースソフトウェアに基づいています。」全国政協委員、360グループの創始者である周鴻祎氏は今年、特にオープンソースソフトウェアに存在する安全リスクに注目している。
周鴻祋から見れば、人が書いたソフトウェアには必ず抜け穴があり、オープンソースソフトウェアも例外ではない。彼は、コードライブラリごとに約158の脆弱性があり、これらの脆弱性が継承され、ソフトウェア自体のセキュリティに影響を与えると紹介した。
「現代のソフトウェア業界は、オープンソースシステムに大きく依存しています。オープンソースコードとその使用するコード管理サービスは、ソフトウェアセキュリティエンジニアリングシステムの重要な構成部分です。」全国政協委員で安天グループの創始者である肖新光氏もこれに注目している。
肖新光氏によると、近年、オープンソースソフトウェアの脆弱性、オープンソースプロジェクトの汚染、メンテナンス者のコード削除などのセキュリティイベントが何度も発生している。関連国がオープンソースプラットフォームを他国を制裁する手段としている状況はさらに警戒に値する。
「オープンソースソフトウェア開発者は、異なる国、異なる背景から来ており、ソースコードの表示、修正、権限の増加は比較的開放的であり、『バックドア』に植え込みやすい。また、業界ではオープンソースコードに対して直接使用したり、ちょっとした修正をしたりすることが多いため、未知のセキュリティリスクを埋めやすい」周鴻祎は言った。
周鴻祎が懸念しているのは、 Bank Of China Limited(601988) 、エネルギー、国防、医療、電力などの重要な業界で運行されているシステムがオープンソースソフトウェアを大量に使用していることだ。オープンソースソフトウェアは生態開放のため、その中に存在する大量のセキュリティホールのリスクが悪意に利用されれば、中国の重要な情報インフラストラクチャの安全を揺るがすのに十分である。
重要な情報インフラストラクチャに対して「底を探る」
実際には、オープンソースソフトウェアだけでなく、ソフトウェア分野全体のセキュリティリスクの問題も無視できません。
「現代のソフトウェア開発の納品過程は極めて複雑で、コンパイル環境と各種クラスライブラリ、オープンソースコード、共通開発パッケージ、ミドルウェアなどに関連し、ソフトウェアの納品過程では複雑なサポート関係に関連している」。肖新光氏は、ソフトウェアの成分と依存関係に透明性が欠けており、セキュリティ検証メカニズムのサポートが欠けているため、ソフトウェアの欠陥、脅威を隠す影響範囲を遡及追跡することが難しいと述べた。
一方、肖新光氏は、現在、ソフトウェア開発の安全基準の規範が遅れており、全ライフサイクルをカバーすることができず、ソフトウェア計画、需要定義、設計開発、対応するテスト検証の一環で依然として大きな向上の余地があると指摘した。ソフトウェアセキュリティに対する保障メカニズムと標準はまだ統一システムを形成していない。
これらの現状と問題に直面して、代表委員たちは多くの対策を提出した。
周鴻祎氏は、重要な情報インフラストラクチャと重要な情報システムを調査し、オープンソースソフトウェアの使用状況「家の底」を把握し、そのタイプ、プロトコル、ソースなどの基礎情報を正確に把握し、システムの脆弱性の発掘を行い、安全リスク管理を配置することを提案した。
「ソフトウェア企業のセキュリティ責任制を確立し、ソフトウェア企業がオープンソースソフトウェアの全ライフサイクルのセキュリティ管理を担当していることを明確にすることを提案します。」周鴻祎氏はまた、 China National Software And Service Company Limited(600536) の開発者が国際オープンソースコミュニティに積極的に参加することを奨励し、国際オープンソースソフトウェアの脆弱性の発掘を促進することを提案した。
「主管部門が先頭に立って、重点業界の分野でソフトウェアサプライチェーンの透明化を推進するメカニズムを確立することを提案する。同時に、対応する検査と検証能力を重要なソフトウェア、設備とシステムの強制要求とする。」肖新光は言った。
肖新光氏は、ソフトウェア業のオープンソース生態構築を加速させると同時に、一連の特別プロジェクトを推進し、オープンソース生態安全とソフトウェア生態安全を強化し、対応する安全監視メカニズムを確立しなければならないと付け加えた。また、ソフトウェアの安全保障を第一の目標とする一連の工事推薦基準と強制要求を制定しなければならない。
