供应链革命丨建设现代社会“供-网-基”开源安全运作中心

“供应链革命”是当前全球关注的焦点。一些国家对此事关注的层次之高实属罕见！

对中国而言，建设、改造供应链，要考虑政治、技术两大要素。以政治要素而言：有人出于政治原因，人为破坏全球供应链（脱钩、断链），中国对此必须作两手准备，在面对人为破坏全球供应链的政治干扰时，必须在“经济双循环”基础上进行考虑。中国在建设、改造供应链时也应采用“双循环”体制。

开源组件是企业软件研发的重要组成部分，基于开源软件的研发在获得其优势的同时，也需要承担其风险。目前，由于近年”核弹级“开源漏洞的频频爆发，让软件供应链安全的话题成为新的全球热点，中国也急需在这个新赛道发力追赶。

供应链在历史上的演变先后出现三种模式：

1. 物料配置供应链

目前中国的供应链主要是属于物料配置的供应链。

2. 软件供应链

一些发达国家拥有软件供应链，配置专用软件（闭源）替代物料供应链。

以软件供应链取代物料配置供应链，可以尽快发现威胁安全的供应链漏洞，也可尽快处理漏洞减少因供应链安全挑战带来的危害。

3. 开源组件供应链

由专用软件配置的供应链转变为数字化、由开源组件分布式配置的供应链，被称为现代供应链。一些发达国家正在做这方面的改革式转型，中国也必须站在供应链革命的潮头！

开源组件供应链较之软件供应链，可动员全球开源志愿者更快地发现及处理在供应链上出现的漏洞，把威胁供应链的安全危害减到最小。

在供应链上出现的恶性漏洞往往会对某个国家或全球造成巨大的危害和影响。现举两个在美国供应链上发生的实例：

①2020年12月，美国的软件供应链发生“太阳风”（SolarWinds）事件，即黑客以“太阳风”软件为突破口，导致18000家“太阳风”软件客户的系统受到波及和影响，也触及美国国家安全的敏感神经，证实了对软件供应链的安全防护迫在眉睫。

②2021年11月30日，阿里巴巴达摩院的开源志愿者首先发现在美国开源组件供应链上出现一个构成对国家安全威胁的、十分严重的ApacheLog4j漏洞（在整个行业范围内定位四级警报），该漏洞影响波及6w＋流行软件，70％以上企业线上业务系统，危害堪比2017年让数百万台主机面临勒索病毒攻击风险的“永恒之蓝”漏洞。

在供应链上出现恶性漏洞引发的安全威胁，其严重性不仅可从上面举出的两个实例中可见一斑，而且还可从供应链安全事故波及其上游（网络安全、国家关键基础设施如能源、金融、国防、公共卫生等领域的安全）和下游（如手机、芯片、工业软件或软件集成、外包等安全）所引发的特大面积、触及国家神经的安全威胁。

Linux基金会执行董事Jim Zemlin、其旗下OpenSSF基金会总经理Brian Behlendorf均谈到：供应链上恶性的安全漏洞均对其上游和下游产生巨大的连锁影响，扩大了安全威胁，引起了各国高层的关注（美国白宫还召集供应链安全峰会，邀请他们两人与会作主题报告），他们也愿意将此与大家分享。

建设、改造中国开源组件供应链是一项全国性的宏大的系统工程，如要制定规划、方案并付诸实施，离不开中央、国家高层的领导、决策、部署，和高层（逐级）的指挥、协同包括政府、民间关于投资的协同。

建设、改造中国开源组件供应链涉及政治和技术两大要素的实施方案，前者包括采取政治、外交、安全、技术、营销等举措，后者包括采取政策、安全、技术、基础设施、投资、标准、法律、营销、协同等举措。

2021年11月30日，阿里巴巴达摩院的开源专家首先发现在美国开源组件供应链上出现ApacheLog4j漏洞。

2022年1月13日美国白宫召开开源组件供应链安全会议，邀请Linux基金会执行董事Jim Zemlin和OpenSSF基金会总经理Brian Behlendorf与会作主题报告。

对中国而言，Linux基金会是一家对华友好，具有举世很高威望的开源组织，Linux基金会和其旗下的OpenSSF基金会正在成为全球现代社会供应链和网络、基础设施安全的运作中心。

2022年1月15日，Jim和Brian责成Linux基金会亚太区执行总监Keith Chen向我们通报了白宫会议情况，并表达他们访华向中国国家信息安全高层领导进行沟通、汇报的要求。

2022年2月22日，我向国家网信办主管安全的副主任赵泽良作了汇报，并转达Jim、Brian的访华要求，赵副主任表示欢迎。但由于新冠疫情波动的影响，至今尚未能成行。

在目前疫情有所缓解的情况下，我们正在请示我国高层领导能否接待他们来访？我顺便向LF-AP了解迄今加入OpenSSF的中外会员多少？

获知：迄今加入OpenSSF中外会员总数已达103家，其中95（外）、8（中），白金会员24（外）、1（中）华为，在24（外）中，大多是有实力的企业：谷歌、AWS、IBM、英特尔、GitHub、RedHat、思科、戴尔、爱立信、甲骨文、摩根斯坦利、JP摩根、Coinbase等。

我看后很震惊，中方远远落后！与加入云原生、区块链等基于开源的深度信息技术基金会相比，差距很大！

究其原因，中方供应链属物料传统配置，发达国家供应链已属开源组件供应链，与开源有切身利益，其次，国内对供应链安全与网络安全、关键基础设施安全的关联、开源定位和对建设现代社会“供网基”安全运作中心缺乏深刻认识，入会也是培奍孵化器指导员的一条路径。

COPU早就把建设改造开源组件供应链作为推进我国第三阶段开源运动的重点，对此我们要做好工作和宣传！

以上文章来源于COPU开源联盟 ，作者陆首群