中国信通院：我国超九成企业使用开源技术

7月18日，由中国信息通信研究院和中国通信标准化协会合办的“2023中国互联网大会开源供应链论坛”在北京举办。中国信通院副总工程师许志远在会上介绍，我国开源市场持续稳定增长，中国信通院调查数据显示，目前超过九成企业已经使用开源技术，其中金融、通信等行业的开源组件使用率超过数千个，云计算、大数据开源的应用率超过40%，开源技术已成为主流。

“在开源供应链治理方面，关注开源供应链风险已经成为共识。因为开源供应链技术比较复杂，开源代码引入不清、监控不足，导致开源代码中安全问题屡屡出现。树立开源供应链风险意识，加强开源供应链安全治理，是推动我国开源供应链良性发展的有效手段。目前，我国企业逐步关注了开源供应链的安全风险治理，金融、汽车、云服务商和软件等行业以及涉及海外业务的企业对开源供应链安全的治理关注度比较高，国内企业也在积极探索开源供应链的安全治理新模式。”许志远说。

许志远还从生态建设、标准测试、企业赋能和国际合作等四个方面对中国信息通信研究院近年来在开展开源供应链研究方面的工作成果进行了总结。在生态建设方面，中国信通院依托开源相关社区/组织，推进标准制定、产业交流等相关工作；标准测试方面，通过标准、白皮书与公共服务平台全面覆盖开源全生命周期中的安全风险治理，并于去年11月在信安标委成功立项《信息安全技术 软件产品开源代码安全评价方法》国家标准；企业赋能方面，中国信通院依据自身经验优势，构建开源培训、诊断、咨询、评估、订阅全生命周期赋能体系；国际合作方面与OpenChain项目开展全面深入的合作交流。

论坛期间还举行了由中国信息通信研究院发布的“开源安全试点验证成果发布”仪式。

中国信通院云大所副所长栗蔚表示，开源是开放的无边界的新型的协作模式，基于这样的模式，数字科技创新、产业开放、经济共享、全球协作等四个方面都可以受益。开源应用广泛的现状下也面临诸多开源安全问题，主要包括网络安全风险、知识产权风险和供应链风险。

栗蔚表示，《信息安全技术 软件产品开源代码安全评价方法》国家标准从软件产品中的开源代码来源、开源代码安全质量、开源代码知识产权和开源代码管理四方面进行安全评价，为各单位对于自身软件产品开源代码安全性自评价提供参考，为第三方机构对于软件产品开源代码安全能力进行审查和评估时提供依据，也可为主管监管部门提供参考。（经济日报记者 黄鑫）