一、简介

2025年4月，国家发改委明确提出“以新发展理念引领、以科技创新为驱动、以信息网络为基础、以高质量发展需求为导向、提供数字化转型、数字化转型等服务的基础设施体系”。智能化升级、集成创新。” ”，界定了“新基建”的概念范围，包括信息基础设施、融合基础设施、创新基础设施等。“新基建”是新一代信息通信技术与传统基础设施深度融合，呈现出高度融合等显着特征。网络化、数字化、智能化。数字经济时代，“新基建”将加速虚拟空间与物理空间的全面融合。在推动数字经济快速发展的同时，面临的安全风险也从传统的网络安全扩展到社会现实生活。

“新基建”虽然涉及多个领域，但其主要功能组件包括三部分：底层硬件设备、调度处理的软件程序以及上层产生的信息数据。无论是硬件设备的控制，还是生产运行信息数据的控制，都离不开基础软件程序的支撑。毫无疑问，软件程序将成为“新基建”的核心要素，软件代码将成为新基建的基础设施。安全直接影响“新基建”的基础安全。

2、开源软件现状分析

随着全球信息化发展趋势的不断融合，国家或企业信息系统的产品来源更加多元化，软件程序的供应链也变得更加复杂。

一般来说，软件程序主要来源于自主研发、购买商业产品、使用开源软件或采用软件外包开发。据公司统计，自研软件的代码约有30%~70%使用了第三方代码，且大多以开源组件、商业或外包共享库的形式存在。信息技术分析公司坚信，大多数现代软件是“组装”的，而不是“开发的”。今天的软件开发过程类似于早期的工业生产活动。它是以开源软件为原材料的。在此基础上，根据实际业务需求和应用场景，添加相对独立的业务代码，最终“组装”起来，打造出一套软件系统。这种敏捷开发方式虽然在一定程度上提高了软件系统开发的效率，但没有充分考虑其使用的基础开源组件是否安全可靠，这给软件系统的安全性和可控性带来了巨大的挑战。

近年来，以广泛使用的开源基础组件等为代表的高危漏洞频频出现，不同国家和企业因此遭受了不同程度的损失。这也促使各国和企业提高对软件供应链、开源软件、关键信息基础设施的认识。对设施中软件系统安全性的关注程度。

（一）开源软件安全形势极其严峻

事实上，开源软件的安全形势已经日益严峻。研究报告显示，2019年披露的开源软件CVE漏洞总数为968个，是此前最高数量的两倍多。 2025年前三个月新增CVE漏洞数量也创历史新高。另外，从美国国家漏洞数据库（NVD）对开源软件的漏洞管理情况来看，开源软件漏洞收录的滞后性比较严重。从该漏洞首次公开披露到该漏洞被纳入NVD，平均需要54天，最长的时间为54天。历时1817天。攻击者完全有可能利用这个时间窗口来开发和部署漏洞。其中，武器化程度最高的开源软件包括、、、、、、JBoss。使用存在漏洞的开源软件的企业将因无法及时接收来自NVD的安全警报而完全面临安全风险。

（二）开源软件产生的蝴蝶效应不容乐观

根据奇安信代码安全实验室公布的数据，开源软件源代码安全缺陷密度为14.22/KLOC，高危安全缺陷密度为0.72/KLOC，即存在14个安全缺陷每 1,000 行开源软件代码中。每 1,400 行开源软件代码中就有 1 个高危安全漏洞。可见，开源软件的安全状况极其不容乐观。

另外，由于开源软件之间的依赖关系非常复杂，其带来的安全问题引起的蝴蝶效应也会变得非常巨大。如果某个开源软件中出现0Day漏洞，将会导致与其有依赖关系的所有其他软件系统中也出现同样的0Day漏洞。漏洞的攻击面会产生由点到面的爆炸性放大效应。

（三）开源软件供应链可能隐藏高级网络威胁

正是由于开源软件的开源特性，其天然DNA中就缺乏安全监管机制。上传开源软件的人可能是个人，也可能是组织，也可能是某个别有用心的机构。因此，开源软件很可能不是“免费午餐”，可能会被植入高级恶意程序代码，通过数据加密将恶意流量（如窃取用户敏感信息或远程控制命令）混淆为正常流量。加密数据流量以逃避安全检测。这种依靠木马以软件供应链为突破口的攻击方式，直接将攻击程序写入开源软件中，大大降低了攻击者从外到内的攻击成本，也将成为下一个网络企业面临的安全问题。风口。

（四）开源软件仍处于管理盲区

开源软件目前处于企业信息化管理的盲点，因为企业使用的各类软件，无论是自主开发还是外包服务，都更倾向于验证功能需求而忽视源代码的安全性和基本开放性。使用的源组件。组件之间的属性和依赖关系。

软件供应商的开发团队使用开源软件非常随意，没有建立完整的开源软件使用管理机制。开发者对于开源软件基本处于“只用不说”的状态，项目负责人无法掌握开发团队使用的信息。特定的开源软件清单使得企业甲方无法获知正在使用的软件系统是否包含开源软件。软件产品一旦交付，开源软件中的漏洞也会给整个信息系统的安全运行带来巨大的安全挑战。

3. 开源软件治理措施

当前，国家和企业已逐步进入数字化时代。无论是硬件的调度和控制，还是上层信息数据的存储、处理和利用，开源软件已经成为构建虚拟空间和物理实体的重要粘合剂，应该作为“新基础设施”。 “充分关注核心基础设施，加强开源软件安全治理措施研究。

（一）建立开源软件审核管理机制

没有规则就没有规则。企业和软件开发商应当建立开源软件审查和管理机制，严格落实开源软件全生命周期的安全使用和风险控制。

（一）建立开源软件顶层审查管理机制。建立相应的组织架构，明确管理职责，结合企业实际特点制定审核管理制度和流程。

（二）建立开源软件安全准入机制，制定评估要点，持续评估其生命周期内的完整性、安全性和法律风险，实时掌握开源软件资产及其关联软件系统的安全风险状况。

（3）利用开源软件自动化工具持续检测和发现开源软件资产，持续跟踪开源软件漏洞情报。

（四）建立开源软件漏洞缓解工作机制，研究开源软件漏洞缓解措施，开展应急响应，及时规避网络安全风险。

（五）建立开源软件运维管理平台，按照评审管理制度流程实施开源软件全生命周期的运维管理，跟踪记录开源软件动态，改进开源软件治理的效率。

（二）推动源代码安全保障切实可行的办法落地

企业使用开源软件面临的首要问题仍然是代码的安全性。软件源代码安全保障实践的代表有微软提出的安全开发生命周期（SDL）和推出的基于敏捷开发的方法。其中，SDL将安全要素嵌入到软件开发和运维的七个阶段，包括培训、需求分析、系统设计、编码实施、测试验证、发布和响应。通过设计一系列可集成的控制措施，增加安全监控、跟踪和分析，将安全融入敏捷流程，在保持“敏捷”和“协作”初衷的同时，赋予每个团队安全能力。

无论SDL如何，您都可以看到安全位置实际上已向左移动，并且它发生在所有流程中。

（1）安全需求分析：应根据实际业务需求和行业标准规范，确定软件系统的安全需求，如分级防护、分级防护等，作为后续安全设计的输入。

（2）安全设计：以安全需求分析文档为基础，以减少攻击面为原则，重点关注用户输入验证、异常处理、身份认证、密码管理、会话安全、访问控制、安全审计、数据脱敏、Web攻击防范等。在软件系统的安全设计方面。

（3）安全编码：使用指定的安全开发工具，严格按照安全设计文档对软件系统进行编码和实现。

（4）安全测试：借助源代码审计、渗透测试、压力测试等综合测试手段，充分验证软件系统的安全性、可用性和完整性。

（5）安全发布：结合实际网络拓扑，合理部署，减少来自网络的攻击面。

（6）安全响应：制定网络安全事件响应计划和处置流程，有效应对网络安全事

件。

（三）借助专业力量持续评估开源软件安全风险

企业应引进或利用专业技术力量，不断加强对在用开源软件的安全风险评估。通过定期渗透测试、代码安全分析或建设网络靶场，持续动态地验证和评估开源软件的可靠性、可用性和安全性，提高开源软件的安全应用能力。

（四）合作建立开源软件漏洞信息数据库

现有的CVE/CPE体系和NVD等漏洞库已经不能满足开源软件安全治理的需求。要创新开源软件漏洞情报研究、共享、共治机制，合作建立开源软件漏洞情报库。

4. 结论

在企业数字化转型过程中，开源软件可以降低成本、提高效率，让企业更加专注于实现数字化业务需求。已成为企业构建数字空间的基础设施。开源软件已经站在企业数字化转型的舞台中心，其安全性直接影响数字空间的安全。因此，开源软件的安全性应该得到充分的重视和重视。迫切需要对开源软件进行全生命周期管理，为企业提供更好的安全保障。保障数字安全发展。

（原文发表于《机密科技》杂志2025年7月号）

# 如果推广外贸网站怎么做  # 将会  # 信誉好的网站推广优化  # 青州网站建设优化  # 清远装饰设计网站建设  # 福州抖音seo目标客户  # 常州专业网站优化多少钱  # 新郑seo优化推广软件  # SM网站建设海报  # 亚洲网站建设公司排名  # 抖音seo优化找哪家  # 多个  # 口碑推广软文推广网站seo优化  # 绥化关键词排名系统  # 网站建设职称怎么填写啊  # 本溪企业seo优化排名  # 南和网站建设推广  # 魏县怎么做网络营销推广  # 潍坊seo费用  # 鹰潭营销推广价格  # 沁阳网站推广优化怎么选  # 铜仁网站建设哪家专业  # 可用性  # 新基建  # 数字经济时代的基础设施体系与安全风险  # 开源  # 基础设施  # 软件系统  # 源代码  # 供应链  # 管理机制  # 安全保障  # 蝴蝶效应  # 新基建：数字经济时代的基础设施体系与安全风险  # 不容乐观  # 信息系统  # 外包  # 的人  # 由点到面  # 文档  # 也会  # 站在  # 首次 

相关文章： 想比别人赚更多的钱？这份广告联盟推荐榜单不要错过！  618购物节黄金时段解析及双平台通用红包口令攻略 黄埔网站怎么优化  网站赚钱怎么做？做什么网站最赚钱？  广告联盟上日赚1000+的方法和经验分享!  为什么网站的原创文章收录了但是无排名？主要是这几个原因！  企业网站建设要点：创意与规划、UI 设计及交互性解析 银川网站建设优化  58同城引流怎么做？利用58的留言和评论引流方法分享！  6个可以利用手机赚钱兼职做任务的app和平台介绍！  另类赚钱方法之酷开社区资源分享引流赚钱！  推广的好好的突然被叫停？可能是这四个原因！  几个在家就可以赚钱的网上赚钱项目，日赚500不是问题！  揭秘引流项目之百度贴吧诱导引流项目的玩法和思路！  流量如何变现？流量变现的五种热门方式！  互联网金融浪潮下，建设银行电子银行创新探索与多元服务 谷歌seo推广公司晋中  分享10个很火的淘客联盟赚钱渠道，副业搞起来！  小红书引流推广教程：精准触达目标群体，引发用户共鸣的利器 云南个人网站建设平台  做联盟广告推广赚钱吗？怎么在联盟上面赚到钱？  广告点击赚钱的原理是什么？如何通过点击广告赚钱？  宝妈在家兼职工作有哪些选择？在线教育与自媒体运营了解一下 德宏网络营销与推广招聘  利用老电影赚钱也能轻松月入过万，你知道吗？  另类推广赚钱方法，做好了日赚1000没问题！  【联盟基础】利用网盘下载资源进行推广是什么意思？  如何利用腾讯广点通推广app？  qq群营销技巧有哪些？如何做好qq群营销实现精准引流？  4个正规靠谱的一天挣300500的方法介绍  目前非常火热的信息流广告的广告投放模式主要有哪几种？  网站优化分阶段进行，前期重外链提升信用度，策略因站点而异？ 网络推广口碑营销  你不得不知的22个可以实现网络赚钱的优秀平台分享！  通过广告联盟赚钱的三大方法！简单轻松赚钱！  如何利用10000IP打造一个年入几十万的赚钱项目？  互联网营销该怎么做？主流的互联网营销方式有哪些？  网站登录方式及页面制作难度、数量对成本的影响 荔湾区企业网站建设招商  app运营精细化如何做？这三个核心指标务必明确！  成都多部门通知！智慧物业平台业主端—小程序近期上线运行 晋江网站建设与管理笔记  文章引流该怎么做？做好这6点流量源源不断！  看看大神们是怎么利用时下的热映电影暴利赚钱的！  广告和cpl广告的主流推广方法解析！  今日头条广告推广具体有哪些优势？  分享7个合法靠谱且高利润的偏门赚钱项目  常见的4个网站营销方式，学会了不愁网站没流量！  做推广的收益如何？赚钱吗？  国外广告联盟常见的五大收款方式，你知道几个？  加速度jsudo更新便利店小程序系统，三大特色助力管理升级 宁海网站的优化  没本钱怎么在手机一天赚500？这3个简单无门槛的方法轻松实现！  【分享】仿应用商店引流模板源码  点击率怎么赚钱的？点击广告赚钱的平台都有哪些？  非常实用且免费的冷门推广赚钱方式：诱导引流操作方法  游戏推广怎么做？这7个游戏推广方法分享给你！  选择建站服务器？单核与双核的考量因素及预算分析   如何不花钱也能做好app推广运营？ 

相关栏目： 【 广告资讯90366 】 【 广告推广18483 】 【 广告优化154267 】 【 广告营销46464 】