长风联盟：2022年从俄乌冲突看我国开源安全发展报告（24页）.pdf

1、从俄乌冲突看我国开源安全发展近年来，开源在各行业各领域得到广泛应用，国内的开源生态整体呈现蓬勃发展的态势。据统计，我国企业软件几乎都会使用到开源代码，流行开源软件被近 1/4 的软件项目使用。然而，由开源软件的依赖关系，自然形成的供应链包含从编码、打包、分发各个环节，其中任何一环出现问题，都可能导致开源软件面临重大风险。开源安全已成为当前亟需重视的问题。一、俄乌冲突中涉及的开源领域事件近期随着俄乌冲突的爆发，美国为首的西方国家联合全球盟友对俄罗斯展开了全面围剿，并在政治、经济、文化、体育和科技等领域推出一轮又一轮的制裁措施。尤其是在科技领域，为了限制俄罗斯在高科技领域的竞争力及获取美国先进技术

2、的能力，美国总统拜登 2 月 24 日发表讲话，强调美国及其盟友将对俄罗斯展开“毁灭性的制裁行动”。美国商务部通过工业和安全局（BIS）正式公布了针对俄罗斯的一系列全面的严格出口管制措施，包括半导体、芯片、计算机、电信设备、加密安全设备、激光和传感器等。美国商务部长 Gina M.Raimondo 明确表示：“商务部与我们的国际合作伙伴以及本届（拜登-哈里斯）政府将继续使用我们所拥有的一切工具手段来限制支持俄罗斯军事能力的产品、软件和技术。”随后，以美国公司为首的科技巨头相继宣布制裁俄罗斯。硬件方面，英特尔、AMD、联想、戴尔、台积电、思科、三星、苹果等科技企业宣布停止对俄罗斯供货；软件方面，

3、微软、SAP、Oracle、亚马逊等软件巨头宣布停止在俄罗斯的产品销售和服务。这意味使用这些巨头产品的企业、机构业务将面临瘫痪。与此同时，开源界也牵扯进俄乌之间冲突的漩涡中。世界最大的代码托管平台和开源社区 GitHub 表示，严格限制俄罗斯获取维持其侵略性军事能力所需要的技术；前端三大主流框架之一 React 声援乌克兰，英文官网首页上线支持乌克兰的横幅；影响力巨大的编程语言 PHP 社区邮件讨论列表出现了一封“申请援助乌克兰”的邮件，目的在于呼吁 PHP社区火速参与俄乌冲突；最大的开源包管理系统 Node.js 公开表态站队乌克兰，并在官网首页新增了一段带话题的呼吁性文字，表示与乌克兰人民

4、站在一起；全球第二大开源代码托管平台 GitLab 已暂停在俄罗斯和白俄罗斯的新业务；全球市场排名第二的开源 Web 服务器 Nginx（由一名俄罗斯工程师 Igor Sysoev 开发并开源）的母公司 F5，取消了俄罗斯对 F5 的网络访问，并停止了在俄罗斯对 Nginx 开源项目的贡献；开源项目 vue-cli（vue-cli 是一个基于 Vue.js 进行基础架构快速开发的完整系统，称为脚手架工具。）的依赖项 node-ipc 包正在以反战为名进行供应链投毒，如果主机的 IP 地址来自俄罗斯或白俄罗斯，该代码将对其文件进行攻击，将文件全部替换成。根据俄罗斯研究小组维护的一个开源“抗议软件

5、”清单（链接在文末），目前已经有多达 30 个开源项目加入了对俄罗斯的抵制，其中甚至包括亚马逊（AWS Terraformmodules）和 Oracle 等科技巨头的项目，也不乏 MongoDB、pnpm、es5-ext、Drupal、RedisDesktopManager 等流行项目。上述开源项目的抗议方式多种多样，包括数据和代码库销毁、加载恶意软件勒索软件、DDoS 攻击、植入后门等高危行为到屏蔽俄罗斯开发者或者显示政治标语等中低烈度的抗议行为。这些行为对俄罗斯的经济运行和 IT 行业造成了严重冲击，以至于俄罗斯总统普京于 2022 年 3 月 30 日签署总统令：为保障技术独立性，要求

6、从 3 月 31 日起禁止在国家采购中未经相关部门许可为重要国家基础设施部门购买外国软件，从 2025 年开始，国家重要基础设施部门将完全禁止使用外国软件。开源政治化的潘多拉盒子已经打开，虽然开源社区一向推崇“自由、平等、相互尊重”的原则，开源精神被无数开发者奉为圭臬，然而“封锁”事件的上演，令国内开源开发者们开始担心，“开源无国界”是否为伪命题？一旦此类事件发生在我国，我国的开源软件如何保证自身的安全？二、我国开源软件安全现状现代软件已经从单体模式演进到以开源软件为代表的规模化协作模式。复杂软件往往涉及诸多开源软件，这些开源软件彼此组合、依赖，连同为各个开源软件做贡献的维护者和开发者，共同形