新基建：数字经济时代的基础设施体系与安全风险 网站功能应用推广怎么做

一、简介

2025年4月，国家发改委明确提出“以新发展理念引领、以科技创新为驱动、以信息网络为基础、以高质量发展需求为导向、提供数字化转型、数字化转型等服务的基础设施体系”。智能化升级、集成创新。” ”，界定了“新基建”的概念范围，包括信息基础设施、融合基础设施、创新基础设施等。“新基建”是新一代信息通信技术与传统基础设施深度融合，呈现出高度融合等显着特征。网络化、数字化、智能化。数字经济时代，“新基建”将加速虚拟空间与物理空间的全面融合。在推动数字经济快速发展的同时，面临的安全风险也从传统的网络安全扩展到社会现实生活。

“新基建”虽然涉及多个领域，但其主要功能组件包括三部分：底层硬件设备、调度处理的软件程序以及上层产生的信息数据。无论是硬件设备的控制，还是生产运行信息数据的控制，都离不开基础软件程序的支撑。毫无疑问，软件程序将成为“新基建”的核心要素，软件代码将成为新基建的基础设施。安全直接影响“新基建”的基础安全。

2、开源软件现状分析

随着全球信息化发展趋势的不断融合，国家或企业信息系统的产品来源更加多元化，软件程序的供应链也变得更加复杂。

一般来说，软件程序主要来源于自主研发、购买商业产品、使用开源软件或采用软件外包开发。据公司统计，自研软件的代码约有30%~70%使用了第三方代码，且大多以开源组件、商业或外包共享库的形式存在。信息技术分析公司坚信，大多数现代软件是“组装”的，而不是“开发的”。今天的软件开发过程类似于早期的工业生产活动。它是以开源软件为原材料的。在此基础上，根据实际业务需求和应用场景，添加相对独立的业务代码，最终“组装”起来，打造出一套软件系统。这种敏捷开发方式虽然在一定程度上提高了软件系统开发的效率，但没有充分考虑其使用的基础开源组件是否安全可靠，这给软件系统的安全性和可控性带来了巨大的挑战。

近年来，以广泛使用的开源基础组件等为代表的高危漏洞频频出现，不同国家和企业因此遭受了不同程度的损失。这也促使各国和企业提高对软件供应链、开源软件、关键信息基础设施的认识。对设施中软件系统安全性的关注程度。

（一）开源软件安全形势极其严峻

事实上，开源软件的安全形势已经日益严峻。研究报告显示，2019年披露的开源软件CVE漏洞总数为968个，是此前最高数量的两倍多。 2025年前三个月新增CVE漏洞数量也创历史新高。另外，从美国国家漏洞数据库（NVD）对开源软件的漏洞管理情况来看，开源软件漏洞收录的滞后性比较严重。从该漏洞首次公开披露到该漏洞被纳入NVD，平均需要54天，最长的时间为54天。历时1817天。攻击者完全有可能利用这个时间窗口来开发和部署漏洞。其中，武器化程度最高的开源软件包括、、、、、、JBoss。使用存在漏洞的开源软件的企业将因无法及时接收来自NVD的安全警报而完全面临安全风险。

（二）开源软件产生的蝴蝶效应不容乐观

根据奇安信代码安全实验室公布的数据，开源软件源代码安全缺陷密度为14.22/KLOC，高危安全缺陷密度为0.72/KLOC，即存在14个安全缺陷每 1,000 行开源软件代码中。每 1,400 行开源软件代码中就有 1 个高危安全漏洞。可见，开源软件的安全状况极其不容乐观。

另外，由于开源软件之间的依赖关系非常复杂，其带来的安全问题引起的蝴蝶效应也会变得非常巨大。如果某个开源软件中出现0Day漏洞，将会导致与其有依赖关系的所有其他软件系统中也出现同样的0Day漏洞。漏洞的攻击面会产生由点到面的爆炸性放大效应。

（三）开源软件供应链可能隐藏高级网络威胁

正是由于开源软件的开源特性，其天然DNA中就缺乏安全监管机制。上传开源软件的人可能是个人，也可能是组织，也可能是某个别有用心的机构。因此，开源软件很可能不是“免费午餐”，可能会被植入高级恶意程序代码，通过数据加密将恶意流量（如窃取用户敏感信息或远程控制命令）混淆为正常流量。加密数据流量以逃避安全检测。这种依靠木马以软件供应链为突破口的攻击方式，直接将攻击程序写入开源软件中，大大降低了攻击者从外到内的攻击成本，也将成为下一个网络企业面临的安全问题。风口。

（四）开源软件仍处于管理盲区

开源软件目前处于企业信息化管理的盲点，因为企业使用的各类软件，无论是自主开发还是外包服务，都更倾向于验证功能需求而忽视源代码的安全性和基本开放性。使用的源组件。组件之间的属性和依赖关系。

软件供应商的开发团队使用开源软件非常随意，没有建立完整的开源软件使用管理机制。开发者对于开源软件基本处于“只用不说”的状态，项目负责人无法掌握开发团队使用的信息。特定的开源软件清单使得企业甲方无法获知正在使用的软件系统是否包含开源软件。软件产品一旦交付，开源软件中的漏洞也会给整个信息系统的安全运行带来巨大的安全挑战。

3. 开源软件治理措施

当前，国家和企业已逐步进入数字化时代。无论是硬件的调度和控制，还是上层信息数据的存储、处理和利用，开源软件已经成为构建虚拟空间和物理实体的重要粘合剂，应该作为“新基础设施”。 “充分关注核心基础设施，加强开源软件安全治理措施研究。

（一）建立开源软件审核管理机制

没有规则就没有规则。企业和软件开发商应当建立开源软件审查和管理机制，严格落实开源软件全生命周期的安全使用和风险控制。

（一）建立开源软件顶层审查管理机制。建立相应的组织架构，明确管理职责，结合企业实际特点制定审核管理制度和流程。

（二）建立开源软件安全准入机制，制定评估要点，持续评估其生命周期内的完整性、安全性和法律风险，实时掌握开源软件资产及其关联软件系统的安全风险状况。

（3）利用开源软件自动化工具持续检测和发现开源软件资产，持续跟踪开源软件漏洞情报。

（四）建立开源软件漏洞缓解工作机制，研究开源软件漏洞缓解措施，开展应急响应，及时规避网络安全风险。

（五）建立开源软件运维管理平台，按照评审管理制度流程实施开源软件全生命周期的运维管理，跟踪记录开源软件动态，改进开源软件治理的效率。

（二）推动源代码安全保障切实可行的办法落地

企业使用开源软件面临的首要问题仍然是代码的安全性。软件源代码安全保障实践的代表有微软提出的安全开发生命周期（SDL）和推出的基于敏捷开发的方法。其中，SDL将安全要素嵌入到软件开发和运维的七个阶段，包括培训、需求分析、系统设计、编码实施、测试验证、发布和响应。通过设计一系列可集成的控制措施，增加安全监控、跟踪和分析，将安全融入敏捷流程，在保持“敏捷”和“协作”初衷的同时，赋予每个团队安全能力。

无论SDL如何，您都可以看到安全位置实际上已向左移动，并且它发生在所有流程中。

（1）安全需求分析：应根据实际业务需求和行业标准规范，确定软件系统的安全需求，如分级防护、分级防护等，作为后续安全设计的输入。

（2）安全设计：以安全需求分析文档为基础，以减少攻击面为原则，重点关注用户输入验证、异常处理、身份认证、密码管理、会话安全、访问控制、安全审计、数据脱敏、Web攻击防范等。在软件系统的安全设计方面。

（3）安全编码：使用指定的安全开发工具，严格按照安全设计文档对软件系统进行编码和实现。

（4）安全测试：借助源代码审计、渗透测试、压力测试等综合测试手段，充分验证软件系统的安全性、可用性和完整性。

（5）安全发布：结合实际网络拓扑，合理部署，减少来自网络的攻击面。

（6）安全响应：制定网络安全事件响应计划和处置流程，有效应对网络安全事件。

（三）借助专业力量持续评估开源软件安全风险

企业应引进或利用专业技术力量，不断加强对在用开源软件的安全风险评估。通过定期渗透测试、代码安全分析或建设网络靶场，持续动态地验证和评估开源软件的可靠性、可用性和安全性，提高开源软件的安全应用能力。

（四）合作建立开源软件漏洞信息数据库

现有的CVE/CPE体系和NVD等漏洞库已经不能满足开源软件安全治理的需求。要创新开源软件漏洞情报研究、共享、共治机制，合作建立开源软件漏洞情报库。

4. 结论

在企业数字化转型过程中，开源软件可以降低成本、提高效率，让企业更加专注于实现数字化业务需求。已成为企业构建数字空间的基础设施。开源软件已经站在企业数字化转型的舞台中心，其安全性直接影响数字空间的安全。因此，开源软件的安全性应该得到充分的重视和重视。迫切需要对开源软件进行全生命周期管理，为企业提供更好的安全保障。保障数字安全发展。

（原文发表于《机密科技》杂志2025年7月号）

# 新基建：数字经济时代的基础设施体系与安全风险  # 新基建  # 数字经济时代的基础设施体系与安全风险  # 开源  # 基础设施  # 软件系统  # 源代码  # 供应链  # 管理机制  # 安全保障  # 蝴蝶效应  # 可用性  # 不容乐观  # 信息系统  # 外包  # 的人  # 由点到面  # 文档  # 也会  # 站在  # 首次  # 多个  # 将会  # 国产seo综合  # seo暴利赚钱  # 联盟推广精细化营销方案  # 实惠的seo推广外包  # 其他网站推广如何做  # 钛白粉推广营销  # 奉贤区营销推广找哪家  # 上饶高端seo优化服务  # 滁州外贸营销网站建设  # 东莞seo企业  # 中山网站建设推广方案  # 品质网站推广概况  # 南宁网站推广优化  # 龙溪网络推广营销中心  # 网站建设优化渠道电话  # 外贸网站后台优化seo  # 营销推广专业委员会  # 营销推广模式微信图片  # 海林企业网站优化  # 荷兰瓷器网站推广方案 

相关文章： 做广告推广的几个要点和细节，一定要记好了！  想在广告联盟上接单赚钱，这些qq引流技巧你必须掌握！  关键指数：揭示成功背后的秘密力量,福鼎百度关键词排名厂商  SEO赚钱：如何通过SEO技能在网络上实现财富自由,惠州网站建设 鑫  新手所必须了解的推广赚钱的5大主流推广方式！  如何利用引流脚本通过广告联盟等渠道收益月入过万？  为什么关键词太少会影响你的网络营销效果？,寻甸小红书营销推广方案  SEO教你如何快速提升网站排名，打破竞争壁垒！,什么网站可以更新seo  专业SEO方案助力企业网站流量暴增，精准引流不再是难题,企业网站的搭建与推广  想通过国外广告联盟赚钱？这10个专业术语你必须了解！  足不出户在家赚钱的项目有哪些呢？推荐这7种！  SEO深度解析：如何通过深度优化提升网站排名，带来流量和转化,织梦建设网站平台  广告联盟计费方式之联盟广告推广计费有哪些优势？  推广之利用微信引流吸粉的四个方法  引流之如何利用评论来进行引流？  四个不耽误上班的网上兼职赚钱副业分享  自媒体运营该怎么做?如何才能运营成功一个自媒体账号？  广告投放的渠道和方法有哪些？各自的优势在哪？  广告模式有什么好处？广告计费的方式是什么？  SEO目的：如何通过精准优化提高网站流量与转化率,濮阳网站建设平台招聘  利用社交软件和引流脚本自动引流，推广交友类app赚钱干货分享！  优化收费，助力企业提升效益，实现共赢,关键词排名高没展现  公众号誊录：让你的内容传播更广，吸引力倍增的秘诀,数据化展示网站建设  SEO技术如何通过优化提升网站流量与排名,中介型网站怎么推广产品  2个超级暴利非常赚钱的网络淘金项目操作思路分享!  关键词“大”，开创成功之道，做出巨大改变,服务器优化网站  最基础最实用的9个网站推广方法，帮助网站快速吸引流量！  福州做网站，一站式服务助力企业互联网转型，福州网站建设，一站式服务推动企业互联网转型新篇章  新手怎样快速通过推广产品广告来赚钱？  做国内广告联盟赚钱的5个入门要点和注意事项！  网络广告联盟计费方式是怎样的？  网站运营该如何持续地提升网站权重来获取更多的流量？  优化型网站：提升企业竞争力的必备利器,西安网站建设雄账号  福建百度推广预算，一天需要多少？,高效精准营销推广哪里有  网站赚钱之通过投放、CPC、广告的广告联盟赚钱玩法说明  网络兼职靠谱吗？正规的网络兼职赚钱渠道有哪些？  WPQQ-开启数字时代的智能连接新纪元,赵文辉seo  WP原创：打造属于你的独特网站，从这里开始！,芜湖网站推广设计  优化投入，让企业更具竞争力,珠海网站优化培训  湖南网站 *** ，助力企业打造高效 *** 营销平台，湖南专业网站 *** 服务，赋能企业高效 *** 营销  借势互联网：如何利用数字浪潮推动品牌腾飞,四川seo软件打造  SEO已经成为数字营销的核心，如何利用SEO提升网站流量和转化率,镇江网站建设方案及报价  深入解析网站优化的重要性与实现 *** ，深度探索，网站优化的重要性及其实施策略，深入理解网站优化，重要性、实现 *** 及有效策略  app推广如何做才有效果？这9大推广渠道必须掌握！  SEO目标：让您的网站轻松登顶搜索引擎,天津软文营销推广报价表  辽源SEO必看，如何让你的网站在搜索引擎中脱颖而出,潍坊做网站建设  SEO代做：让你的企业轻松登顶搜索引擎，快速提升曝光率,seo实战课堂收录  信息流广告是什么意思？可以推广app产品广告吗？  SEO项目：如何通过精确优化提升企业网站排名与转化率,陕西网站建设方案书范文  网站外链应该怎么发布？发布网站外链的4个最实用有效的方法！