全国政协委员周鸿祎：建议加强对开源软件的代码审查

新京报贝壳财经讯（记者 罗亦丹）2022年全国两会召开在即。全国政协委员、360创始人周鸿祎近日在接受新京报贝壳财经记者采访时表示，建议加强对开源软件的代码审查，国内软件业应该积极参与国际开源社区互动，不断提高话语权，建立影响力，鼓励第三方市场力量参与国内开源生态建设，尽快掌控开源软件资源应用的主动权。

开源项目近日来被业界屡屡关注，其中最知名的事件应属2021年12月10日Apache基金会开源项目的Log4j2组件被发现存在远程代码执行漏洞，该漏洞被业内称为“核弹级”漏洞。

周鸿祎表示，在Log4j2漏洞爆出之前，开源软件便已存在大量漏洞，只不过此漏洞的爆发引起了外界的普遍关注。周鸿祎对开源软件依然持积极看法，并十分提倡开源精神，认为这是新时代的“集中力量办大事”，没有开源软件也就没有中国互联网的今天。

然而，从安全的角度，开源软件很容易成为他国对我进行网络渗透攻击的渠道。对此，周鸿祎建议加强对开源软件的代码审查，国内软件业应该积极参与国际开源社区互动，不断提高话语权，建立影响力。鼓励第三方市场力量参与国内开源生态建设，尽快掌控开源软件资源应用的主动权。

据了解，目前许多国内科技公司采用的都是国外的开源框架，对于如何增加中国在软件基础设计方面的实力方面，周鸿祎告诉记者，要充分理解开源模式本身的先进性，热烈拥抱开源；鼓励很多技术人员积极参与国际开源社区；积极开展国内主导的开源项目分支或开源项目建设。

“第一，我们要热烈拥抱开源，要充分理解开源模式本身的先进性，对开源的利用不能太‘鸡贼’，比如说把国外的开源偷过来就把它闭源了，这样软件就失去了它的进化可能性，而且开源可以有效打破国际上对中国所谓的技术封锁，不光软件开源，我们国家最头疼的芯片问题就是芯片的开源设计。”

“第二，短期内全部用国内自己的开源是不可能的，大量的开源项目还在国际上，能够把国际上很多聪明才智为我所用，就跟中国引入很多国外的专家学者一样，国家要鼓励很多公司、很多软件技术人员积极参与国际的开源社区，不能只索取不奉献。一个开源社区能不能主导不是看公司大小规模，而是看在里面做的贡献多不多，如果中国人只是把代码拿过来用，但是不贡献代码，在开源社区实际上是没有发言权的，我们在里面有发言权之后就可以主导一些（开源项目的方向和发展），因为我们的人口多，我们的工程师多，我们能主导一些开源项目的方向和发展。”

“第三，预备着美国可能在有些开源项目上对我们进行像‘贸易战’一样的封锁，同时我认为各大部委、各大数字化领先的公司，应该多积极地开展这种国内主导的开源项目的分支或者开源社区的建设。现在像阿里、腾讯、百度、头条，包括360这些互联网公司在国内都开始了开源的项目。但是现在的开源在国内还不像美国那么彻底，更多像是一种公关效应，我觉得国家应该大力在政策上支持这些公司开源，把这些东西分享出来。”

除上述三点外，周鸿祎对贝壳财经记者补充道，开源可以提高国内程序员的开发能力、开发水平，“其实想一想，我也是程序员出身，在学校学的东西是基本功，真正的东西是在实战里练出来的，开源特别锻炼一个程序员的实际水平。这是因为程序员在公司里看到的东西是非常有限的，参与开源项目，虽然见不到很多国内顶级乃至世界级的高手，但是能看到很多项目的源代码，自己参与开源项目，别人也会给程序员提建议，所以我觉得把开源搞好，整个国家的软件开发能力都会有巨大的提升。”

新京报贝壳财经记者 罗亦丹 编辑 陈莉 校对 刘军

全国政协委员周鸿祎：建议加强对开源软件的代码审查