如果開源軟件有了立場，我們將直面‘平時被控、戰時被癱’的現實風險。”3月30日，360創始人周鴻祎發布微博點評“開源軟件卷入俄烏沖突中”一事。他表示，當前開源軟件大多是由西方國家主導，依賴度高，一定程度上面臨“受制于人”的困境。此外，由于開源軟件開發力量復雜多元，開發人員經過一定的流程可以查看、修改、增加其源代碼，攻擊者很容易通過在開源軟件中設置惡意代碼、植入“后門”等方式，威脅數字安全。

近期，不少開源軟件卷入俄烏沖突中，比如Node.js 、React等聲明支援烏克蘭，另外還有開源開發者向自己維護的項目源代碼中“投毒”。而此次周鴻祎點評的開源軟件是Nginx，它是由俄羅斯程序員開發的高性能的HTTP和反向代理web服務器，占據全球 Web 服務器市場逾三成份額，國內新浪、網易、豆瓣等多家網站也有使用。之前有開發者呼吁俄羅斯拿Nginx反制裁西方國家，但現在比較戲劇性的是，Nginx反而成了西方制裁俄羅斯的工具。

原因在于，2019 年 3 月，NGINX 被 F5 公司以 6.7 億美元收購。而F5 公司CEO近日發布公開信表示，已暫停在俄羅斯的所有銷售活動，移除俄羅斯對F5 網絡的訪問權限以及停止俄羅斯對 NGINX 開源項目做貢獻。

誠然，開源對技術進步和產業發展具有重要意義，沒有開源就沒有如今數字化的世界。但是，正如周鴻祎所說，當開源軟件有了立場，我們將直面“平時被控、戰時被癱”的現實風險。尤其，目前我國銀行、能源、國防、醫療、電力等重要行業運行的系統，大量使用的是國際開源軟件，一旦面臨極端情況，也會存在“受制于人”的困境。

因此，加強中國自主開源生態建設和開源軟件安全刻不容緩。首先，要積極參與國際開源社區，在學習和發展中，在既有規則內，不斷提高話語權，建立影響力;其次，要鼓勵第三方市場力量參與國內開源生態建設，推進開源自主，盡快掌控開源軟件資源應用的主動權，從源頭強化供給;最后，要對關鍵信息基礎設施和重要信息系統開展普查，摸清開源軟件使用情況“家底”，精確掌握其類型、協議、來源等基礎信息，形成全量使用關系視圖，并進行系統漏洞挖掘，布局安全風險管理。