一、简介

2025年4月，国家发改委明确提出“以新发展理念引领、以科技创新为驱动、以信息网络为基础、以高质量发展需求为导向、提供数字化转型、数字化转型等服务的基础设施体系”。智能化升级、集成创新。” ”，界定了“新基建”的概念范围，包括信息基础设施、融合基础设施、创新基础设施等。“新基建”是新一代信息通信技术与传统基础设施深度融合，呈现出高度融合等显着特征。网络化、数字化、智能化。数字经济时代，“新基建”将加速虚拟空间与物理空间的全面融合。在推动数字经济快速发展的同时，面临的安全风险也从传统的网络安全扩展到社会现实生活。

“新基建”虽然涉及多个领域，但其主要功能组件包括三部分：底层硬件设备、调度处理的软件程序以及上层产生的信息数据。无论是硬件设备的控制，还是生产运行信息数据的控制，都离不开基础软件程序的支撑。毫无疑问，软件程序将成为“新基建”的核心要素，软件代码将成为新基建的基础设施。安全直接影响“新基建”的基础安全。

2、开源软件现状分析

随着全球信息化发展趋势的不断融合，国家或企业信息系统的产品来源更加多元化，软件程序的供应链也变得更加复杂。

一般来说，软件程序主要来源于自主研发、购买商业产品、使用开源软件或采用软件外包开发。据公司统计，自研软件的代码约有30%~70%使用了第三方代码，且大多以开源组件、商业或外包共享库的形式存在。信息技术分析公司坚信，大多数现代软件是“组装”的，而不是“开发的”。今天的软件开发过程类似于早期的工业生产活动。它是以开源软件为原材料的。在此基础上，根据实际业务需求和应用场景，添加相对独立的业务代码，最终“组装”起来，打造出一套软件系统。这种敏捷开发方式虽然在一定程度上提高了软件系统开发的效率，但没有充分考虑其使用的基础开源组件是否安全可靠，这给软件系统的安全性和可控性带来了巨大的挑战。

近年来，以广泛使用的开源基础组件等为代表的高危漏洞频频出现，不同国家和企业因此遭受了不同程度的损失。这也促使各国和企业提高对软件供应链、开源软件、关键信息基础设施的认识。对设施中软件系统安全性的关注程度。

（一）开源软件安全形势极其严峻

事实上，开源软件的安全形势已经日益严峻。研究报告显示，2019年披露的开源软件CVE漏洞总数为968个，是此前最高数量的两倍多。 2025年前三个月新增CVE漏洞数量也创历史新高。另外，从美国国家漏洞数据库（NVD）对开源软件的漏洞管理情况来看，开源软件漏洞收录的滞后性比较严重。从该漏洞首次公开披露到该漏洞被纳入NVD，平均需要54天，最长的时间为54天。历时1817天。攻击者完全有可能利用这个时间窗口来开发和部署漏洞。其中，武器化程度最高的开源软件包括、、、、、、JBoss。使用存在漏洞的开源软件的企业将因无法及时接收来自NVD的安全警报而完全面临安全风险。

（二）开源软件产生的蝴蝶效应不容乐观

根据奇安信代码安全实验室公布的数据，开源软件源代码安全缺陷密度为14.22/KLOC，高危安全缺陷密度为0.72/KLOC，即存在14个安全缺陷每 1,000 行开源软件代码中。每 1,400 行开源软件代码中就有 1 个高危安全漏洞。可见，开源软件的安全状况极其不容乐观。

另外，由于开源软件之间的依赖关系非常复杂，其带来的安全问题引起的蝴蝶效应也会变得非常巨大。如果某个开源软件中出现0Day漏洞，将会导致与其有依赖关系的所有其他软件系统中也出现同样的0Day漏洞。漏洞的攻击面会产生由点到面的爆炸性放大效应。

（三）开源软件供应链可能隐藏高级网络威胁

正是由于开源软件的开源特性，其天然DNA中就缺乏安全监管机制。上传开源软件的人可能是个人，也可能是组织，也可能是某个别有用心的机构。因此，开源软件很可能不是“免费午餐”，可能会被植入高级恶意程序代码，通过数据加密将恶意流量（如窃取用户敏感信息或远程控制命令）混淆为正常流量。加密数据流量以逃避安全检测。这种依靠木马以软件供应链为突破口的攻击方式，直接将攻击程序写入开源软件中，大大降低了攻击者从外到内的攻击成本，也将成为下一个网络企业面临的安全问题。风口。

（四）开源软件仍处于管理盲区

开源软件目前处于企业信息化管理的盲点，因为企业使用的各类软件，无论是自主开发还是外包服务，都更倾向于验证功能需求而忽视源代码的安全性和基本开放性。使用的源组件。组件之间的属性和依赖关系。

软件供应商的开发团队使用开源软件非常随意，没有建立完整的开源软件使用管理机制。开发者对于开源软件基本处于“只用不说”的状态，项目负责人无法掌握开发团队使用的信息。特定的开源软件清单使得企业甲方无法获知正在使用的软件系统是否包含开源软件。软件产品一旦交付，开源软件中的漏洞也会给整个信息系统的安全运行带来巨大的安全挑战。

3. 开源软件治理措施

当前，国家和企业已逐步进入数字化时代。无论是硬件的调度和控制，还是上层信息数据的存储、处理和利用，开源软件已经成为构建虚拟空间和物理实体的重要粘合剂，应该作为“新基础设施”。 “充分关注核心基础设施，加强开源软件安全治理措施研究。

（一）建立开源软件审核管理机制

没有规则就没有规则。企业和软件开发商应当建立开源软件审查和管理机制，严格落实开源软件全生命周期的安全使用和风险控制。

（一）建立开源软件顶层审查管理机制。建立相应的组织架构，明确管理职责，结合企业实际特点制定审核管理制度和流程。

（二）建立开源软件安全准入机制，制定评估要点，持续评估其生命周期内的完整性、安全性和法律风险，实时掌握开源软件资产及其关联软件系统的安全风险状况。

（3）利用开源软件自动化工具持续检测和发现开源软件资产，持续跟踪开源软件漏洞情报。

（四）建立开源软件漏洞缓解工作机制，研究开源软件漏洞缓解措施，开展应急响应，及时规避网络安全风险。

（五）建立开源软件运维管理平台，按照评审管理制度流程实施开源软件全生命周期的运维管理，跟踪记录开源软件动态，改进开源软件治理的效率。

（二）推动源代码安全保障切实可行的办法落地

企业使用开源软件面临的首要问题仍然是代码的安全性。软件源代码安全保障实践的代表有微软提出的安全开发生命周期（SDL）和推出的基于敏捷开发的方法。其中，SDL将安全要素嵌入到软件开发和运维的七个阶段，包括培训、需求分析、系统设计、编码实施、测试验证、发布和响应。通过设计一系列可集成的控制措施，增加安全监控、跟踪和分析，将安全融入敏捷流程，在保持“敏捷”和“协作”初衷的同时，赋予每个团队安全能力。

无论SDL如何，您都可以看到安全位置实际上已向左移动，并且它发生在所有流程中。

（1）安全需求分析：应根据实际业务需求和行业标准规范，确定软件系统的安全需求，如分级防护、分级防护等，作为后续安全设计的输入。

（2）安全设计：以安全需求分析文档为基础，以减少攻击面为原则，重点关注用户输入验证、异常处理、身份认证、密码管理、会话安全、访问控制、安全审计、数据脱敏、Web攻击防范等。在软件系统的安全设计方面。

（3）安全编码：使用指定的安全开发工具，严格按照安全设计文档对软件系统进行编码和实现。

（4）安全测试：借助源代码审计、渗透测试、压力测试等综合测试手段，充分验证软件系统的安全性、可用性和完整性。

（5）安全发布：结合实际网络拓扑，合理部署，减少来自网络的攻击面。

（6）安全响应：制定网络安全事件响应计划和处置流程，有效应对网络安全事件。

（三）借助专业力量持续评估开源软件安全风险

企业应引进或利用专业技术力量，不断加强对在用开源软件的安全风险评估。通过定期渗透测试、代码安全分析或建设网络靶场，持续动态地验证和评估开源软件的可靠性、可用性和安全性，提高开源软件的安全应用能力。

（四）合作建立开源软件漏洞信息数据库

现有的CVE/CPE体系和NVD等漏洞库已经不能满足开源软件安全治理的需求。要创新开源软件漏洞情报研究、共享、共治机制，合作建立开源软件漏洞情报库。

4. 结论

在企业数字化转型过程中，开源软件可以降低成本、提高效率，让企业更加专注于实现数字化业务需求。已成为企业构建数字空间的基础设施。开源软件已经站在企业数字化转型的舞台中心，其安全性直接影响数字空间的安全。因此，开源软件的安全性应该得到充分的重视和重视。迫切需要对开源软件进行全生命周期管理，为企业提供更好的安全保障。保障数字安全发展。

（原文发表于《机密科技》杂志2025年7月号）

# 东莞seo企业  # 将会  # 国产seo综合  # seo暴利赚钱  # 联盟推广精细化营销方案  # 实惠的seo推广外包  # 其他网站推广如何做  # 钛白粉推广营销  # 奉贤区营销推广找哪家  # 上饶高端seo优化服务  # 滁州外贸营销网站建设  # 多个  # 中山网站建设推广方案  # 品质网站推广概况  # 南宁网站推广优化  # 龙溪网络推广营销中心  # 网站建设优化渠道电话  # 外贸网站后台优化seo  # 营销推广专业委员会  # 营销推广模式微信图片  # 海林企业网站优化  # 荷兰瓷器网站推广方案  # 可用性  # 新基建  # 数字经济时代的基础设施体系与安全风险  # 开源  # 基础设施  # 软件系统  # 源代码  # 供应链  # 管理机制  # 安全保障  # 蝴蝶效应  # 新基建：数字经济时代的基础设施体系与安全风险  # 不容乐观  # 信息系统  # 外包  # 的人  # 由点到面  # 文档  # 也会  # 站在  # 首次 

相关文章： 雷霆夺冠验证建队哲学，今夏三大核心续约如何平衡未来蓝图？   9月16日抖音举办不实信息治理开放日，谣言曝光量降67%   揭秘低价网站建设背后的优势与风险，低价网站建设，揭秘其背后的利弊真相  工作生活急需扫描文稿？微信这一隐藏功能快捷又高效   老乡鸡海报出bug，卑微求助笑拉了！  东莞网站 *** 公司，助力企业打造专业形象，提升 *** 竞争力，东莞专业网站 *** ，助力企业 *** 形象升级  百度推荐怎么推广？常见的这几种推广方法你知道吗？   南通网站优化，提升企业在线竞争力的关键策略，南通企业网站优化攻略，解锁在线竞争力新篇章，南通企业网站优化攻略，打造在线竞争力新篇章  椰树总部“极繁式”外观，火了  打造高效营销型企业网站，策略与技巧解析，高效营销型企业网站构建之道，策略与技巧揭秘  海南自由贸易港封关政策集中学习培训班（第一期）结业   全方位解析门户网站建设方案，打造高效、专业的 *** 平台，构建高效专业 *** 平台，门户网站建设方案全解析  南宁网站优化，提升网站流量与转化率的秘诀指南，南宁网站优化攻略，揭秘流量与转化率双提升秘诀  昆明网站 *** ，打造专业、高效的在线平台，昆明专业高效网站定制服务，昆明专业网站定制，高效在线平台解决方案  十堰网站建设，助力企业转型升级，打造 *** 营销新格局，十堰企业转型升级新引擎，网站建设引领 *** 营销新格局  东莞手机网站建设，助力企业数字化转型的关键一步，东莞企业数字化转型新引擎，手机网站建设攻略，东莞企业数字化转型新引擎，手机网站建设攻略  95 后女孩林媛实测！小红书底部菜单变市集，内测大揭秘？   深圳安居房申请条件全解析，这些要点你必须知道   打造个性化空间，个人网站设计模板全攻略，个性化空间定制，个人网站设计模板秘籍大全  深圳SEO关键词排名下降怎么办？这些调整技巧助你逆袭   微信群主踢人时，被踢者、群主及其他成员都有啥提示？   抖音播放电影版权问题怎么解决？|直播|电影这些要点要注意   天津家长看过来！陕师大实力如何？一文讲透报考关键点   网站推广报价，如何合理制定与优化，高效网站推广成本管理，合理报价与优化策略  20张发人深省的插画，深刻揭露了社会现实  地主来了2019微信赢红包版，经典玩法与炫酷特效等你来   揭秘被黑网站， *** 安全危机下的防患未然， *** 安全重拳出击，揭秘黑网站，筑牢防患未然防线  义乌网站 *** ，打造专业电商平台的更佳选择，义乌专业电商平台定制服务——网站 *** 首选方案，义乌专业电商平台定制，网站 *** 首选义乌方案  “情绪价值”才是消费驱动力  黑龙江外国语学院举办网络安全教育讲座，共筑文明网络环境   数字化时代企业品牌推广机遇挑战并存，下拉词优化平台助力塑造口碑   微信有多火？每天超10亿人打开，使用率近80%   广电客服怎么找？电视机顶盒故障、5G套餐问题全解答   济南SEO网站优化，助力企业提升 *** 竞争力，济南SEO优化，助力企业抢占 *** 市场制高点  大连网站 *** ，打造专业、高效、个性化的企业官网，大连定制化企业官网解决方案——专业高效网站 *** 专家  比特币交易乱象丛生！美国查抄致价值暴跌，国内监管亟待加强？   365好商机网：集多种服务于一体，助力创业与招商   *** 网站建设，提升公共服务水平，构建透明高效 *** ，数字化赋能，打造透明高效公共服务型 *** ，数字化赋能下的透明高效公共服务型 *** 建设， *** 网站新篇章  新疆棉事件两年后，最大品牌输家曝光......  南京刘大爷购长虹空调，享高效售后，看长虹如何提升服务质量？   微信新功能可语音转文字，速看在哪及如何用？   温州做网站，助力企业互联网转型，打造品牌新形象，温州企业互联网转型新引擎，网站建设助力品牌形象升级，温州企业互联网转型新引擎，网站建设赋能品牌形象升级  近日洛阳发布2025民营企业30强名单，都有谁入选了？   微信误删好友怎么找回？七种实用恢复方法助力你   长沙网站建设公司，助力企业打造高效、专业的 *** 平台，长沙专业网站建设，赋能企业 *** 发展新篇章  畅享轻松时光！盘点免费看短剧软件，让娱乐生活更精彩   微信成国民应用引不法分子觊觎，上线新功能严打非法放贷   贵州网站建设，助力企业数字化转型，打造区域互联网新名片，贵州企业数字化转型新引擎，打造区域互联网新名片，贵州企业数字化转型新引擎，打造区域互联网新名片  如何设置让对方在主界面隐身，却仍在好友列表的方法？   华为手机微信收不到消息怎么办？这些方法来帮您  

相关栏目： 【 广告资讯90366 】 【 广告推广18483 】 【 广告优化154267 】 【 广告营销46464 】