软件自主率要求提升，软件供应链安全和自主率该如何保障

编者按：近年来，随着信创产业的加速发展，金融、电信、能源、电力、医疗、教育、交通、公共事业等关键基础设施建设安全保障不断加强，软件供应链安全防护日益凸显，软件“自主率”备受关注，本文提供一些经验参考。

伴随数字化发展的不断深入，保障关键信息基础设施安全，对于维护国家网络空间安全、保障经济社会发展等的重要价值正日益凸显。

8月17日，李克强总理签署国务院令，正式公布《关键信息基础设施安全保护条例》。该条例已经2021年4月27日国务院第133次常务会议通过，自2021年9月1日起正式施行。

《条例》明确规定关键信息基础设施运营者“应当优先采购安全可信的网络产品和服务”，提出“国家支持关键信息基础设施安全防护技术创新和产业发展，组织力量实施关键信息基础设施安全技术攻关”。此次《条例》的实施落地为我国关键信息基础设施安全防护体系建设夯实了政策法规基础。

近年来，随着信创产业的加速发展，金融、电信、能源、电力、医疗、教育、交通、公共事业等关键基础设施建设安全保障不断加强，软件供应链安全防护日益凸显，软件“自主率”备受关注，本文提供一些经验参考。

自主率要求并非一次性“体检”，而是长期治理计划

软件自主率指的是具有自主知识产权的技术在所用全部生产技术中所占的比率。软件行业中自主率对于源代码的自主创新提出来新的要求，源代码自主率包含了源代码所依赖的组件也需要纳入软件自主率的统计范围。这里“依赖的组件”既包含商业软件也包括开源软件。这也是开源软件首次被正式在软件自主率这个主题中提出来。

开源是指公开源代码的软件，任何人都可以进行自由修改和共享。在当今快节奏的商业世界中，为了在较短的软件发布周期内成功实现此目标，开发人员经常通过对开源软件组件进行修改添加所需要的功能以加快软件开发的速度。

软件自主率的要求，落实到企业上，就是需要通过自身不断创建，完善软件产品的底层功能自主率，逐步从底层实现“自主创新，安全可用”。

严格要求软件自主率对于关键信息基础设施安全保护的作用，不能错误理解为一次性的“考试”，而应当理解为是一个长期的创新事业。

关键信息基础设施安全是一项重大战略。在这个大方向上，我们已经取得了一定的成绩，无论在硬件领域（芯片、存储、服务器等）以及软件领域（操作系统，中间件、数据库等）方面都取得了长足的进步。在绝大部分领域，我们不仅摆脱了对国外软硬件产品的依赖，还能够在市场经济中占据一席地址，并呈现百家争鸣、百花齐放的场面，这是值得肯定的。

在实现完全“自主创新，安全可信”，国产软件还有很大的提升空间。而首先要提高的，就是软件自主率。对于软件中用到的核心业务代码，是否完全是自主编写，掌握核心功能设计、实现和优化的能力。对于其依赖的国外开源组件是否有完整的替换方案，是否有替代的时间表。在关键基础产业不断推进的过程中，对于软件自主率的要求也会随着时代不同而做出符合趋势的改变。

随着关键基础产业推进以及对自主率的重视，越来越多的厂商已经意识到下一步的发展方向。大量厂商早早布局软件自主率，也取得了非凡的成绩。各家企业在自己领域逐步探索出来符合中国国情的特色发展道路，并在既有成绩的基础上，制定长远的战略，确定符合国家规划的时间表。

对于关键基础产业的从业公司来讲，以下经验提供参考：

1.建立清晰的软件供应链安全策略，明确本单位内部软件供应链安全管理的目标。

2.严格管控上游，持续监测和消减所使用的开源软件的安全风险。

3.严控自主开发的代码质量，将源代码安全检测平台融入软件开发流程。

关键基础软件的老牌厂家表示“淡定”，自主率优化有“章法”

针对“自主率”国内老牌厂家其实早有准备。对于如何看待软件供应链安全和如何提高国产软件的自主率，他们有着独立且有统一的道路探索，这里分享一下他们的经验。

操作系统和数据库等基础软件，是国家信息产业的重要基石。软件的供应链的安全，特别是基础软件的供应链安全，是不可忽视的信息化安全基础。

国内主流OS厂家统信软件表示：

软件的开发、组成中，使用的技术、工具也如同芯片领域的流片、材料一样，是关系到软件产品开发和生产的重要供应链组成部分，应该得到如同芯片产业同样的重视和支持。

统信软件聚焦与OS产品开发，除了逐步提升自主软件在产品中的应用，同时通过开发自主软件源代码，严格执行GPL协议对发行版厂商的要求，确保统信软件可以合理合法的使用开源工程软件。这样可以保障统信软件可以有权限使用开源工程。同时统信软件在产品研发过程当中有配套工具能够做到主动识别和掌握产品代码成分等情况，严格甄选和管理集成在产品中的开源组件，跟踪中来上游开源发行版，确保技术可控，努力提升自主，不断增强产品供应链安全保障。

同时国内另外一款某主流数据库厂商也表示：

对于关键基础软件之一数据库软件管理系统这个链条当中，有很多环节都是外国人提供的。如果发生断供情况，甚至一些关键基础设施的系统被控制，造成灾难性损失与恐慌。断供风险分为以下几类：无法下载、无法参与上游、修改License（闭源、排除特定类型用户）、生态限制、代码托管平台断供、开源软件安全风险。

在研发数据库管理系统之初，公司首先建立了软件供应链安全相关制度与规范，借助配套工具做到主动识别和掌握产品代码成分，确保开发的每一款软件具有安全保障和风险防范能力，另一方面公司从战略层面确定了数据库管理系统的研发路线图，技术演进路线和如何逐步提升数据库管理系统的代码自研率。

END

点击图片查看完整内容：