一、简介

2025年4月，国家发改委明确提出“以新发展理念引领、以科技创新为驱动、以信息网络为基础、以高质量发展需求为导向、提供数字化转型、数字化转型等服务的基础设施体系”。智能化升级、集成创新。” ”，界定了“新基建”的概念范围，包括信息基础设施、融合基础设施、创新基础设施等。“新基建”是新一代信息通信技术与传统基础设施深度融合，呈现出高度融合等显着特征。网络化、数字化、智能化。数字经济时代，“新基建”将加速虚拟空间与物理空间的全面融合。在推动数字经济快速发展的同时，面临的安全风险也从传统的网络安全扩展到社会现实生活。

“新基建”虽然涉及多个领域，但其主要功能组件包括三部分：底层硬件设备、调度处理的软件程序以及上层产生的信息数据。无论是硬件设备的控制，还是生产运行信息数据的控制，都离不开基础软件程序的支撑。毫无疑问，软件程序将成为“新基建”的核心要素，软件代码将成为新基建的基础设施。安全直接影响“新基建”的基础安全。

2、开源软件现状分析

随着全球信息化发展趋势的不断融合，国家或企业信息系统的产品来源更加多元化，软件程序的供应链也变得更加复杂。

一般来说，软件程序主要来源于自主研发、购买商业产品、使用开源软件或采用软件外包开发。据公司统计，自研软件的代码约有30%~70%使用了第三方代码，且大多以开源组件、商业或外包共享库的形式存在。信息技术分析公司坚信，大多数现代软件是“组装”的，而不是“开发的”。今天的软件开发过程类似于早期的工业生产活动。它是以开源软件为原材料的。在此基础上，根据实际业务需求和应用场景，添加相对独立的业务代码，最终“组装”起来，打造出一套软件系统。这种敏捷开发方式虽然在一定程度上提高了软件系统开发的效率，但没有充分考虑其使用的基础开源组件是否安全可靠，这给软件系统的安全性和可控性带来了巨大的挑战。

近年来，以广泛使用的开源基础组件等为代表的高危漏洞频频出现，不同国家和企业因此遭受了不同程度的损失。这也促使各国和企业提高对软件供应链、开源软件、关键信息基础设施的认识。对设施中软件系统安全性的关注程度。

（一）开源软件安全形势极其严峻

事实上，开源软件的安全形势已经日益严峻。研究报告显示，2019年披露的开源软件CVE漏洞总数为968个，是此前最高数量的两倍多。 2025年前三个月新增CVE漏洞数量也创历史新高。另外，从美国国家漏洞数据库（NVD）对开源软件的漏洞管理情况来看，开源软件漏洞收录的滞后性比较严重。从该漏洞首次公开披露到该漏洞被纳入NVD，平均需要54天，最长的时间为54天。历时1817天。攻击者完全有可能利用这个时间窗口来开发和部署漏洞。其中，武器化程度最高的开源软件包括、、、、、、JBoss。使用存在漏洞的开源软件的企业将因无法及时接收来自NVD的安全警报而完全面临安全风险。

（二）开源软件产生的蝴蝶效应不容乐观

根据奇安信代码安全实验室公布的数据，开源软件源代码安全缺陷密度为14.22/KLOC，高危安全缺陷密度为0.72/KLOC，即存在14个安全缺陷每 1,000 行开源软件代码中。每 1,400 行开源软件代码中就有 1 个高危安全漏洞。可见，开源软件的安全状况极其不容乐观。

另外，由于开源软件之间的依赖关系非常复杂，其带来的安全问题引起的蝴蝶效应也会变得非常巨大。如果某个开源软件中出现0Day漏洞，将会导致与其有依赖关系的所有其他软件系统中也出现同样的0Day漏洞。漏洞的攻击面会产生由点到面的爆炸性放大效应。

（三）开源软件供应链可能隐藏高级网络威胁

正是由于开源软件的开源特性，其天然DNA中就缺乏安全监管机制。上传开源软件的人可能是个人，也可能是组织，也可能是某个别有用心的机构。因此，开源软件很可能不是“免费午餐”，可能会被植入高级恶意程序代码，通过数据加密将恶意流量（如窃取用户敏感信息或远程控制命令）混淆为正常流量。加密数据流量以逃避安全检测。这种依靠木马以软件供应链为突破口的攻击方式，直接将攻击程序写入开源软件中，大大降低了攻击者从外到内的攻击成本，也将成为下一个网络企业面临的安全问题。风口。

（四）开源软件仍处于管理盲区

开源软件目前处于企业信息化管理的盲点，因为企业使用的各类软件，无论是自主开发还是外包服务，都更倾向于验证功能需求而忽视源代码的安全性和基本开放性。使用的源组件。组件之间的属性和依赖关系。

软件供应商的开发团队使用开源软件非常随意，没有建立完整的开源软件使用管理机制。开发者对于开源软件基本处于“只用不说”的状态，项目负责人无法掌握开发团队使用的信息。特定的开源软件清单使得企业甲方无法获知正在使用的软件系统是否包含开源软件。软件产品一旦交付，开源软件中的漏洞也会给整个信息系统的安全运行带来巨大的安全挑战。

3. 开源软件治理措施

当前，国家和企业已逐步进入数字化时代。无论是硬件的调度和控制，还是上层信息数据的存储、处理和利用，开源软件已经成为构建虚拟空间和物理实体的重要粘合剂，应该作为“新基础设施”。 “充分关注核心基础设施，加强开源软件安全治理措施研究。

（一）建立开源软件审核管理机制

没有规则就没有规则。企业和软件开发商应当建立开源软件审查和管理机制，严格落实开源软件全生命周期的安全使用和风险控制。

（一）建立开源软件顶层审查管理机制。建立相应的组织架构，明确管理职责，结合企业实际特点制定审核管理制度和流程。

（二）建立开源软件安全准入机制，制定评估要点，持续评估其生命周期内的完整性、安全性和法律风险，实时掌握开源软件资产及其关联软件系统的安全风险状况。

（3）利用开源软件自动化工具持续检测和发现开源软件资产，持续跟踪开源软件漏洞情报。

（四）建立开源软件漏洞缓解工作机制，研究开源软件漏洞缓解措施，开展应急响应，及时规避网络安全风险。

（五）建立开源软件运维管理平台，按照评审管理制度流程实施开源软件全生命周期的运维管理，跟踪记录开源软件动态，改进开源软件治理的效率。

（二）推动源代码安全保障切实可行的办法落地

企业使用开源软件面临的首要问题仍然是代码的安全性。软件源代码安全保障实践的代表有微软提出的安全开发生命周期（SDL）和推出的基于敏捷开发的方法。其中，SDL将安全要素嵌入到软件开发和运维的七个阶段，包括培训、需求分析、系统设计、编码实施、测试验证、发布和响应。通过设计一系列可集成的控制措施，增加安全监控、跟踪和分析，将安全融入敏捷流程，在保持“敏捷”和“协作”初衷的同时，赋予每个团队安全能力。

无论SDL如何，您都可以看到安全位置实际上已向左移动，并且它发生在所有流程中。

（1）安全需求分析：应根据实际业务需求和行业标准规范，确定软件系统的安全需求，如分级防护、分级防护等，作为后续安全设计的输入。

（2）安全设计：以安全需求分析文档为基础，以减少攻击面为原则，重点关注用户输入验证、异常处理、身份认证、密码管理、会话安全、访问控制、安全审计、数据脱敏、Web攻击防范等。在软件系统的安全设计方面。

（3）安全编码：使用指定的安全开发工具，严格按照安全设计文档对软件系统进行编码和实现。

（4）安全测试：借助源代码审计、渗透测试、压力测试等综合测试手段，充分验证软件系统的安全性、可用性和完整性。

（5）安全发布：结合实际网络拓扑，合理部署，减少来自网络的攻击面。

（6）安全响应：制定网络安全事件响应计划和处置流程，有效应对网络安全事

件。

（三）借助专业力量持续评估开源软件安全风险

企业应引进或利用专业技术力量，不断加强对在用开源软件的安全风险评估。通过定期渗透测试、代码安全分析或建设网络靶场，持续动态地验证和评估开源软件的可靠性、可用性和安全性，提高开源软件的安全应用能力。

（四）合作建立开源软件漏洞信息数据库

现有的CVE/CPE体系和NVD等漏洞库已经不能满足开源软件安全治理的需求。要创新开源软件漏洞情报研究、共享、共治机制，合作建立开源软件漏洞情报库。

4. 结论

在企业数字化转型过程中，开源软件可以降低成本、提高效率，让企业更加专注于实现数字化业务需求。已成为企业构建数字空间的基础设施。开源软件已经站在企业数字化转型的舞台中心，其安全性直接影响数字空间的安全。因此，开源软件的安全性应该得到充分的重视和重视。迫切需要对开源软件进行全生命周期管理，为企业提供更好的安全保障。保障数字安全发展。

（原文发表于《机密科技》杂志2025年7月号）

# 如果推广外贸网站怎么做  # 将会  # 信誉好的网站推广优化  # 青州网站建设优化  # 清远装饰设计网站建设  # 福州抖音seo目标客户  # 常州专业网站优化多少钱  # 新郑seo优化推广软件  # SM网站建设海报  # 亚洲网站建设公司排名  # 抖音seo优化找哪家  # 多个  # 口碑推广软文推广网站seo优化  # 绥化关键词排名系统  # 网站建设职称怎么填写啊  # 本溪企业seo优化排名  # 南和网站建设推广  # 魏县怎么做网络营销推广  # 潍坊seo费用  # 鹰潭营销推广价格  # 沁阳网站推广优化怎么选  # 铜仁网站建设哪家专业  # 可用性  # 新基建  # 数字经济时代的基础设施体系与安全风险  # 开源  # 基础设施  # 软件系统  # 源代码  # 供应链  # 管理机制  # 安全保障  # 蝴蝶效应  # 新基建：数字经济时代的基础设施体系与安全风险  # 不容乐观  # 信息系统  # 外包  # 的人  # 由点到面  # 文档  # 也会  # 站在  # 首次 

相关文章： 【兼职赚钱必看】15大类100个网上副业兼职赚钱的平台汇总  联盟赚钱行业内经常遇见的三个大坑！别掉里面了！  如何做好网站运营？推荐这三个思路！  注册推广月入过万项目玩法介绍，十足的干货！  想赚大钱的这份国外移动广告联盟排行榜单请收好！  英国委托书公证认证如何办理？快速流程及注意事项全解析 单个关键词优化排名做法  网络推广的方法和技巧有哪些？常见的主要有这5种！  影响广告联盟平台上广告价格的因素有哪些？  怎样选择一个不作弊不扣量的广告联盟平台？  国外广告联盟是什么？该怎么做？  如何利用腾讯广点通推广app？  被动赚钱日入300+的暴利赚钱玩法介绍  什么是点击网赚？点击赚钱是真的吗？  广告联盟行业中如何通过软件、app推广拉新赚钱？  社交app如何利用社交新媒体快速进行app推广引流？  互联网营销方式主要有哪些？这4种主流方式必须掌握！  一般人如何靠广告联盟赚钱实现网络副业收入逆袭？  广告投放怎么做？互联网广告投放方式都有哪些？  网络兼职日入300的项目和方法：推广|直播|、聊天交友类app赚钱！  广告结合抖音项目助你轻轻松松赚大钱！  高佣联盟赚钱是真的吗？高佣联盟怎么赚钱，有哪些技巧和方法？  给顾客的早安问候语四篇，传递温暖与祝福 长沙seo运营  看看大神们是怎么利用时下的热映电影暴利赚钱的！  免广告电影网站结合微信公众号引流赚钱项目介绍  做广告联盟赚钱的网站最常用的七个推广方式！  推广赚钱被动躺赚玩法介绍  玩转自媒体淘客？教你知乎带货如何批量操作！  新手做自媒体运营的5大实用技巧和7个必备工具！  教你在QQ上这5种傻瓜式引流技巧，引流不再难！  网站优化好长尾关键词排名，实现精准引流获客！  操作网赚项目的时候如何快速地吸引精准粉丝？  文章引流该怎么做？做好这6点流量源源不断！  新手怎样快速通过推广产品广告来赚钱？  抖音免费领1000播放量网站大揭秘，助你提升视频曝光率   没网站也可以通过广告联盟赚钱！微信、qq引流推广赚钱也可以赚很多！  想赚点零花钱不知道怎么做？这6款靠谱的手机赚钱软件推荐给你！  盘点14个可以通过网络赚钱的网站和平台  适合做互联网营销的平台有那些？如何做好互联网营销？  如何利用推广项目从广告联盟赚佣金？8个主流玩法介绍给你！  最常见也最有效的4个社交app推广方式  企业销售场景中客户资源不均咋破？芝麻微客渠道活码来支招 舟山php网站建设招聘  广告联盟平台全自动挂机赚钱到底能不能真正赚到钱？  网站上线一周内搜索引擎蜘蛛抓取要点，收录期也需关注 seo自学教程免费优化  百度广告联盟怎么加入​？申请条件有哪些？  地推项目的线下引流赚钱玩法介绍  淘客app推广如何推广？教你简单且有效的3招！  抖音小店开通流程及所需材料全解析，蓝v、报白等成关注焦点 苏州seo内部优化  如何做好广告营销推广？广告营销推广的4个有效方法！  没本钱怎么在手机一天赚500？这四个项目做好了轻松日赚500！  如何筛选出适合自己app优质高效的app推广渠道？ 

相关栏目： 【 广告资讯90366 】 【 广告推广18483 】 【 广告优化154267 】 【 广告营销46464 】