統信劉聞歡：開源作業系統供應鏈安全要從“根”上做起

隨著軟體行業以及開源生態的發展，開源軟體，尤其是以作業系統為代表的核心基礎軟體已經成為了整個數字世界的發展基石。

開源軟體的蓬勃發展一方面可以突破技術壁壘，推動創新，另一方面複雜的國際競爭關係使得開源軟體的供應鏈安全風險上升。

前段時間的Ubuntu停服事件，再次給中國作業系統產業敲響警鐘，依賴別人的根系統、根社群很難自主發展、自由成長，更談不上維護資訊產業和數字經濟安全。

“安全是一個生態，它是動態發展的，要從‘根’上做起，這樣才能實現資訊產業長久安全發展。”統信軟體總經理劉聞歡表示。 

開源不等於無國界，開源也不等於安全。安全是不僅僅包括產品本身的安全性以及圍繞產品打造的安全防護方案，還需要根據現實的安全威脅情況進行動態的應對。

當然，作為開源作業系統來說，不依託國外主導的發行版或社群，從而從Linux核心、開源專案、自研專案元件開始構建一個自主的根社群才能從根上實現供應鏈安全。

統信軟體總經理劉聞歡做客新華網直播間

在資訊保安領域有著近10年的工作經驗的劉聞歡對於作業系統安全格外重視，在內外部會議及產品研發過程中多次強調安全的重要性。正是這樣對安全的“苛刻”追求，統信作業系統才成為了國內安全等級最高、安全防護體系最完善的作業系統之一。

劉聞歡表示，統信軟體在作業系統安全方面正做著三項工作，著力打造安全水平國際領先的作業系統產品。第一是軟體安全治理。這也是系統安全的第一道防線，也是使用者在使用過程中比較容易受到安全威脅的地方。統信作業系統在最開始設計的時候，就把軟體安全治理納入了整體規劃。統信應用商店對各類軟體有著嚴格的測試、上架、安裝全鏈條治理過程，使得使用者從統信應用商店中可以下載和安裝到可靠可信的應用軟體。

第二是安全體系和安全標準。統信軟體掌握作業系統研發的核心能力，在系統開發時就將安全體系和安全標準內建在系統之中。像等保2.0和可信計算的要求以及國內對於加密和傳輸的標準、協議，這些已經從底層融合進統信作業系統之中，實現了統信作業系統的內生安全。

第三是安全合作。作業系統安全不只是作業系統廠商一家的工作，統信軟體廣泛地和專業安全團隊進行合作，共同築牢基礎軟體安全底座。

統信軟體通過加強和統信-羽林作業系統供應鏈安全聯合實驗室等科研機構的合作，發起UOS主動安全防護計劃（UAPP）等形勢，加強對統信作業系統進行安全漏洞挖掘和分析，打造安全防護解決方案，打造安全生態合作架構，更好地提升統信作業系統的安全性。

“統信-羽林作業系統供應鏈安全聯合實驗室已經基於統信作業系統自身安全性做了大量工作和研究，今年實驗室將研發嵌入式、插拔式安全產品，並與統信軟體一起圍繞重點行業客戶的應用場景打造安全防護體系。”清華大學軟體學院副教授、統信-羽林作業系統供應鏈安全聯合實驗室主任姜宇表示。

作為核心基礎軟體，開源作業系統在一定程度上解決了我國作業系統發展的問題，但要想真正做到供應鏈安全，不受制於人，還需要從“根”出發，掌握開源作業系統的發展權、上游社群主導權。

統信軟體作為中國領先的作業系統企業，有很強的主導作業系統和社群發展的能力，在開源工作上也有著豐富的經驗積累，自2015年開始，就放棄基於Ubuntu作為上游，而選擇了Ubuntu的非商業上游社群Debian作為研發的基礎，提前做了未雨綢繆的考慮和準備，具備打造“根”社群的經驗和能力基礎。

因此，統信軟體在5月釋出了打造面向世界、中國主導的桌面根社群（deepin）,成果國內首個提出打造桌面作業系統根社群的作業系統廠商，統信“深度”根社群建設得到了主管單位、產業界和生態夥伴的大力支援和認可。

剛剛“滿月”的統信“深度”根社群已經取得了不少進展，煥發出巨大的創新力和生態活力。

至此，統信軟體已經構築起從核心到應用、從晶片到軟體、從主動防禦到安全合作、從貢獻開源到建設根社群的全方位安全生態體系，從“根”上保障作業系統供應鏈安全，護航千行百業數字化建設和數字經濟發展。