俄乌冲突引发国内外广泛关注，包括网络战也打得如火如荼。虽然在线下的物理世界中还只是局部战争，但是在线上的虚拟世界里早已开启人类历史上第一次世界网络大战，且波及范围极广。比如，就连一向“无国界”的开源软件圈也开始了选边站队，给我们很多警示。

Nginx是由俄罗斯程序员开发的高性能的HTTP和反向代理web服务器，占据全球web 服务器市场逾三成份额，国内新浪、网易、豆瓣、迅雷等多家网站也有使用。鉴于其在全球使用的广泛性，之前有开发者呼吁俄罗斯拿Nginx反制裁西方国家，但现在比较戏剧性的是，Nginx反而成了西方制裁俄罗斯的工具。

因为后来Nginx创始人在美国创办了NginxInc公司，2019年Nginx又被美国F5收购。近期，Nginx母公司 F5发文宣布：暂停在俄罗斯的所有销售业务，移除俄罗斯对F5 网络的访问权限，以及停止俄罗斯对 Nginx 开源项目做贡献。

此外，还有开源作者针对Node-ipc模块，加入了一些破坏性代码来“投毒”：当代码检测到IP为俄罗斯或者是白俄罗斯的开发者时，会删除其系统上的所有文件。我看有网友直呼：俄罗斯人连Nginx都用不了！

在这起事件中，我们看到：当前开源软件大多是由西方国家主导，依赖度高，一定程度上面临“受制于人”的困境。此外，由于开源软件开发力量复杂多元，开发人员经过一定的流程可以查看、修改、增加其源代码，攻击者很容易通过在开源软件中设置恶意代码、植入“后门”等方式，威胁数字空间安全。

Nginx这事值得我们反思。今年两会上，我带来的关于开源软件的提案里，就指出开源软件由于生态开放，存在着大量的安全漏洞等风险，一旦被恶意利用，国内关键信息基础设施安全将是建立在沙滩上的城堡，面临着“平时被控、战时被瘫”的现实风险。

同时，国内软件开发虽然正在快速发展，但是尚未形成具有国际影响力的自主开源项目，我国银行、能源、国防、医疗、电力等重要行业运行的系统，大量使用的也是国际开源软件，一旦面临极端情况，也会存在“受制于人”的情况。

所以，加强中国自主开源生态建设和开源软件安全刻不容缓，建议从以下三个方面加强我国开源软件安全:

首先，要积极参与国际开源社区，在学习和发展中，在既有规则内，不断提高话语权，建立影响力；

其次，要鼓励第三方市场力量参与国内开源生态建设，推进开源自主，尽快掌控开源软件资源应用的主动权，从源头强化供给；

最后，要对关键信息基础设施和重要信息系统开展普查，摸清开源软件使用情况“家底”，精确掌握其类型、协议、来源等基础信息，形成全量使用关系视图，并进行系统漏洞挖掘，布局安全风险管理。

---------------------------------------

（市场有风险，投资交易需谨慎。所涉标的不做任何推荐，据此投资交易，风险自负。）