#开源软件卷入俄乌冲突,俄罗斯开发者或因制裁无法使用Nginx# 如果开源软件有了立场,我们将直面 “平时被控、战时被瘫”的现实风险。近期开源圈爆出一事,且和俄乌冲突有关。

Nginx是由俄罗斯程序员开发的高性能的HTTP和反向代理web服务器,国内新浪、网易、豆瓣、迅雷等多家网站也有使用。鉴于其在全球使用的广泛性,之前有开发者呼吁俄罗斯拿Nginx反制裁西方国家,但现在比较戏剧性的是,Nginx反而成了西方制裁俄罗斯的工具。

因为后来Nginx创始人在美国创办了NginxInc公司,2019年Nginx又被美国F5收购。近期,Nginx母公司 F5发文宣布:暂停在俄罗斯的所有销售业务,并禁止俄罗斯对 Nginx开源项目作贡献。

此外,近日还有开源作者针对Node-ipc模块,加入了一些破坏性代码来“投毒”:当代码检测到IP为俄罗斯或者是白俄罗斯的开发者时,会删除其系统上的所有文件。我看有网友直呼:俄罗斯人连Nginx都用不了!

在这起事件中,我们看到:当前开源软件大多是由西方国家主导,依赖度高,一定程度上面临“受制于人”的困境。此外,由于开源软件开发力量复杂多元,开发人员经过一定的流程可以查看、修改、增加其源代码,攻击者很容易通过在开源软件中设置恶意代码、植入“后门”等方式,威胁数字空间安全。

Nginx这事值得我们反思。今年两会上,我带来的关于开源软件的提案里,就指出开源软件由于生态开放,存在着大量的安全漏洞等风险,一旦被恶意利用,国内关键信息基础设施安全将是建立在沙滩上的城堡,面临着“平时被控、战时被瘫”的现实风险。

同时,国内软件开发虽然正在快速发展,但是尚未形成具有国际影响力的自主开源项目,我国银行、能源、国防、医疗、电力等重要行业运行的系统,大量使用的也是国际开源软件,一旦面临极端情况,也会存在“受制于人”的情况。所以,在此呼吁国家以关键信息基础设施保护为抓手,加强我国开源软件安全和社区的自主开发,以及漏洞挖掘和安全风险管理。#俄罗斯乌克兰##网络战争##数字安全#开源超话

以下为博主精选评论

欢迎新用户
o p

正在加载,请稍候...