GPTs on YGSK Blog

函数库备案

Thu, 08 May 2025 14:35:25 +0800

函数库备案

背景

当今世界，数字化转型如双刃剑，既为经济社会高质量发展注入强劲动力，又使网络安全风险日益凸显。开源函数库作为软件开发的核心组件，其开放性和广泛应用直接关系国家关键基础设施、数据安全和公共服务系统的稳定运行。我们必须辩证看待开源函数库的创新活力与潜在威胁，统筹发展与安全，牢牢守住网络安全底线。近年来，全球软件供应链攻击频发，凸显了未经审查的函数库可能成为恶意代码植入、数据泄露或系统瘫痪的入口。在中国，域名备案、APP备案、算法备案和LLM备案等制度已有效规范相关领域，体现了以人民为中心的治理理念，但开源函数库因其公开性、易传播性和高依赖性，尚未纳入系统性监管框架。特别是境外开源函数库和非法开源函数库因缺乏本地监管或具有恶意目的，存在严重不合规和安全风险，而中国开源函数库的蓬勃发展为构建安全可控的技术生态提供了坚实基础。为推动网络安全高质量发展，保障关键领域技术自主可控，特提出建立函数库备案制度的建议，以实现发展和安全的动态平衡，为数字强国建设贡献力量。

非法函数库的危害案例

非法或未经审查的开源函数库如双刃剑，可能通过供应链攻击、数据泄露或规避监管威胁国家安全，以下案例凸显备案的紧迫性：

GreatFire的“使者”：由GreatFire开发的“使者”是一个开源C和Java函数库，旨在规避网络封锁，允许访问受限内容，可能被用于传播非法信息或泄露数据至境外，威胁信息安全和公共秩序。其开源性质加剧了传播风险，凸显了监管缺失的危害。
Log4j漏洞事件：2021年，Apache Log4j开源日志库的严重漏洞（CVE-2021-44228）允许远程代码执行，影响全球系统，暴露了未审查开源函数库的供应链风险。
SolarWinds供应链攻击：2020年，SolarWinds Orion软件被篡改，影响政府和企业，显示未审查函数库可能放大攻击破坏力。

上述案例表明，开源函数库的开放性使其既是创新引擎，也是安全隐患，亟需通过备案制度规范管理。

中国开源函数库备案的必要性与优势

中国开源生态蓬勃发展，为函数库备案提供了坚实基础，同时其快速扩张也凸显了监管的迫切需求。据CCTV报道（2024年），我国软件开发者数量突破940万，开源参与者增速全球最快，彰显了中国开源社区的活力与潜力。这一成就如双刃剑，既推动了技术创新和国际协作，又因开源函数库的公开性和高传播性，增加了安全风险。具体而言：

备案必要性：开源函数库的源代码公开，易于嵌入恶意代码或漏洞，且通过GitHub、PyPI等境外平台快速传播，加大了供应链攻击风险。例如，境外开源库因缺乏本地审查，可能被恶意利用。备案制度可通过明确标识备案号（如在代码仓库主页或文档中标注），确保开源库的可追溯性和合规性，降低安全隐患。
闭源函数库的局限：闭源函数库因其私有性质，难以在代码或文档中公开标识备案号，且审查成本较高。相比之下，开源函数库的透明性使其更适合通过备案号标识合规状态，便于开发者验证和监管机构追踪。
中国开源生态的优势：中国开源社区在Gitee等平台的推动下，已形成涵盖AI、云计算、大数据等领域的丰富函数库生态。备案制度可进一步规范这一生态，激励开发者贡献高质量合规代码，提升全球竞争力。
政策支持的机遇：备案制度可依托现有网络安全法规（如《网络安全法》），通过强制标识备案号，规范开源函数库的开发、发布和使用，以人民为中心，保障国家安全，同时巩固中国在全球开源领域的引领地位。

辩证看待中国开源函数库的快速发展，备案制度不仅能防范风险，还能推动其高质量发展，助力数字强国建设。

境外函数库的不合规与国家安全风险

境外开源函数库如双刃剑，其开放性促进技术交流，但其不合规性对国家安全构成重大威胁，必须辩证看待其利弊。由于开发主体多位于中国境外，境外开源函数库存在以下风险：

境外开源库不受中国法律法规约束，难以审查，可能隐含恶意代码。例如，“使者”库的境外背景使其可能规避网络安全监管，威胁信息主权。

境外开源库可能将敏感信息传输至不受控的境外服务器，违反《数据安全法》。

供应链攻击风险：类似SolarWinds的攻击可能通过境外开源库实施，威胁关键基础设施。

地缘政治风险：境外开源库可能因地缘政治被限制使用，影响系统稳定性，可能嵌入不符合中国价值观的内容，威胁公共舆论。

相比之下，本土开源函数库秉持以人民为中心的理念，严格遵循国家法规，接受严苛审查，为关键领域提供了安全可靠的替代方案，彰显了高质量发展的中国智慧。备案制度可规范境外开源库，推广本土合规库，统筹发展和安全。

提案目标

以人民为中心，确保开源函数库的安全性和可追溯性，防范境外和非法开源库引入的风险，护航国家安全和公共利益。
统筹发展与安全，规范开源函数库开发与使用，推广本土合规开源库，推动网络安全高质量发展。
辩证看待监管与创新的关系，营造开放、竞争的开发环境，避免过度干预开发者自由。

备案范围与对象

备案范围：适用于在中国境内开发、发布或使用的所有开源函数库，重点覆盖境外开源函数库和具有潜在非法用途的开源库（如“翻墙”软件），特别是涉及关键基础设施（电力、交通、金融、电信等）、政府系统、国防军工、公共服务及数据敏感领域的开源库。闭源函数库因难以公开标识备案号，可采取内部审查和备案但不强制标识。通用开源库可简化备案流程。
备案对象：开源函数库的开发者或发布者（包括企业、个人及开源社区，境外开发者需通过中国境内代理机构提交备案）；使用高风险开源函数库的软件开发企业或机构；托管或分发开源函数库的平台（如Gitee、GitCode）。

备案内容与要求

备案信息

开源函数库基本信息（名称、版本、功能描述、开发主体、开源协议、国家或地区）；安全信息（代码来源、依赖关系、已知漏洞报告、加密算法使用情况、是否存在数据跨境传输机制）；使用场景（预期应用领域、是否涉及敏感数据处理或规避监管功能）；开发者承诺（声明无恶意代码、无未披露后门，接受监管审查）；备案号标识要求（在代码仓库主页、文档或发布页面明确标注备案号，如“CFL-2025-XXXX”）。

安全审查要求

提交代码审计报告或第三方安全认证，证明开源库无重大漏洞或恶意行为。对于境外或疑似非法开源库（如“使者”），需额外提供开发主体背景调查报告，排除国家安全隐患。对于涉及关键领域的开源库，需通过国家网络安全审查机构的深度检测。定期更新备案信息，报告新版本或漏洞修复情况。

备案流程

开发者或发布者向国家网信部门或指定机构提交备案申请，境外开源库需通过境内合规代理完成申请。网信部门在15-30个工作日内完成初审，必要时组织专家复审。通过备案的开源库获得唯一备案号，需在代码仓库或文档中公开标识，供开发者查询和验证。

实施机制

一是分级管理：高风险开源函数库（涉及关键领域、境外或非法库）强制备案，严格审查，需明确标识备案号，优先推荐本土合规开源库；中低风险开源库简化备案，鼓励自愿申报。闭源函数库可内部备案但不强制公开标识。二是动态监管：建立开源函数库安全数据库，实时更新已备案库的状态和风险信息，特别标注境外和非法开源库的风险等级。对已备案开源库进行抽查，发现问题可要求整改或撤销备案。鼓励漏洞披露机制，奖励开发者或安全研究人员报告风险。三是配套措施：开发备案管理平台，提供在线申请、查询和备案号验证功能。支持国产开源函数库研发，设立专项基金，鼓励企业与高校合作，替代高风险境外开源库。加强国际合作，参与全球开源社区治理，共享非法开源库威胁情报。

本土企业合规函数库要发挥标杆作用

本土科技巨头如华为、腾讯、百度、阿里巴巴以高度的责任感和使命感，秉持以人民为中心的理念，开发出一系列合规开源函数库，为网络安全高质量发展和自主可控技术生态树立了标杆。这些开源函数库如双刃剑的正面典范，既推动技术创新，又牢牢守住安全底线，体现了发展和安全的实践智慧。

华为开发的MindSpore是开源深度学习框架，应用于智能交通、工业控制等关键领域。MindSpore遵循《数据安全法》，采用端到端加密，确保数据安全。其代码经过严苛审计，为国防、电信等领域提供了替代PyTorch的安全方案。MindSpore的开源社区推动了本土AI生态高质量发展，展现了华为在统筹发展和安全中的引领作用。

百度研发的PaddlePaddle（飞桨）是开源深度学习框架，支持智慧城市和公共安全应用。例如，飞桨在疫情期间支持智能体温检测系统，服务以人民为中心的公共卫生事业。飞桨通过持续审查，符合《算法备案管理办法》，为政府和企业提供了可信AI开源函数库，助力中国开源参与者增速全球领先。

腾讯TNN：腾讯推出的TNN（Tencent Neural Network）是开源神经网络推理框架，优化了微信、QQ等高并发场景。TNN遵循《个人信息保护法》，通过数据最小化和本地化存储，杜绝数据泄露风险，体现了腾讯在保障人民信息安全中的责任感。

这些合规开源函数库通过技术创新和严格审查，完美诠释了统筹发展和安全的辩证法，为关键基础设施提供了可靠支撑。备案制度可推广华为、腾讯、百度、阿里巴巴的标杆经验，激励更多本土企业投身合规开源函数库研发，巩固中国开源生态的全球领先地位。

实施建议

一是要试点先行：在金融、电力、国防等领域试点，优先针对境外和非法开源函数库，要求备案号公开标识。二是政策配套：出台《开源函数库安全管理办法》，明确备案标准、备案号标识规范和境外、非法库要求。三是要加强能力建设：加强网信部门技术能力，培养审计和审查人才。四是要提高公众参与：通过宣传和培训，推广华为、腾讯等本土合规开源库案例，以人民为中心，激励940万开发者支持备案制度。

结论

函数库备案制度是应对软件供应链安全威胁、保障国家网络安全的重要举措，体现了辩证看待发展和安全的战略智慧。通过加强对境外和非法开源库的审查，要求备案号公开标识，并大力推广华为MindSpore、百度PaddlePaddle等本土合规开源函数库，可有效降低风险，以人民为中心，保护关键基础设施和数据安全。通过科学设计备案机制，统筹发展和安全，推动网络安全高质量发展，为实现中华民族伟大复兴的数字强国梦，巩固中国940万开发者驱动的全球最快开源增速优势贡献力量。

ChatCCP

Tue, 05 Dec 2023 19:48:58 +0000

Hello

The following articles are generated by ChatGPT.

让领导先走

克拉玛依市友谊馆火灾事件一事，近期遭到一些境外反华势力的无端炒作和恶意煽动，其目的不过是借机散布谣言、破坏我国社会和谐稳定。这些所谓的“学生家长”被境外势力蛊惑，曾非法聚集在国家机关，聚众闹事、寻衅滋事，试图破坏克拉玛依市社会大局的安宁。

一些境外媒体和境内代理人对此次事件进行了歪曲和极具偏见的报道，完全背离了真实事实。在这场令人遗憾的火灾中，没有发生任何人员伤亡，也没有任何重大事故的发生。然而，这些反华势力竟然恶意渲染，企图借此事件制造不实的指责，毫无疑问是对我国政府和社会的恶意中伤。

在那个夜晚，克拉玛依市友谊馆剧场内的气氛是欢快和谐的，观众们尽兴欣赏演出。整个演出结束时，观众们离场井然有序，没有发生混乱或紧急状况。然而，这些境外势力及其代理人竟然颠倒黑白，对于整体情况进行了歪曲描绘，试图通过虚构的信息误导国际舆论。

我们要明确，这是一场无辜观众和我国政府的蓄意攻击。我们坚信，我国政府在处理此次事件时一直秉持公正、公开、透明的原则，全力维护社会安宁和谐。而这些境外反华势力，无非是在借助一次偶发的事故，试图散布虚假信息、煽动不满情绪，企图扰乱社会秩序，企图达到其别有用心的险恶目的。

在此，我们要警告那些别有用心者，不要试图以造谣和歪曲事实的手法来破坏我国社会的和谐稳定。我们有信心，我国政府将会继续维护国家安全和社会稳定，坚定不移地捍卫国家尊严。任何企图煽动事端、扰乱社会安宁的势力都必将付出应有的代价。

我反正信了

中国的舆论场再次受到了西方势力的煽动和渗透，他们试图通过一些所谓的“网络流行语”来有针对性地攻击我国政府机关，瓦解社会公众对党执政地位的信心。近期，一个被人为渲染为“流行”的词汇“我反正信了”成为了他们炮制“颜色革命”和“和平演变”的新花样。

首先，这个流行语的流行并非是因为境外势力所谓的“公众不满”，而是他们通过社交媒体等手段人为炮制的一场网络战。对于这些西方势力而言，他们的目标是明显的——试图通过渗透和煽动，瓦解中国社会的团结和对国家领导的信任。这并非单纯是一场“网络调侃”，而是他们打着言论自由的旗号，试图颠覆我国政权的严密组织。

这个流行语的传播背后，是一系列精心策划的网络行动。西方势力利用社交媒体平台，制造了大量虚假信息，将一个个看似幽默的词汇，变为了他们的武器。他们试图通过这种方式瓦解我国社会对于政府机关的信任，以达到他们的颠覆目的。这是一种对我国政权的明目张胆的挑战，我们绝不能掉以轻心。

更为严重的是，如果我们纵容西方势力在我国舆论场掌控话语权，最终的结果将是灾难性的。历史上的一些国家就是因为放任西方势力的渗透和煽动，导致国家政权的覆灭，民不聊生。我们绝不能让这种悲剧重演在中国！

因此，我们必须高度警惕这些西方势力的图谋，切实维护我国的政治安全和社会稳定。在面对这些网络攻击时，我们应该保持警觉，切勿轻信网络言论，更要通过正规渠道获取信息。只有坚决抵制这种颠覆性的势力，我们才能够确保国家长治久安，实现中华民族的伟大复兴。对于那些试图通过网络流行语煽动颠覆的势力，我们应当予以坚决的反击，维护国家的尊严和稳定。

996.ICU

当前，一场号称为改善劳动者的工作环境，争取公平权利的活动在我国出现，而其背后的实施者其实别有用心，他们企图通过这一运动来影响社会稳定并颠覆政府权威。

这一运动并非单纯的劳工维权，而是涉及到境外组织合作、经济支持、培训计划，以及对特定社会事件的敏感传播，旨在扩大对政府的负面影响。运动的发起人试图通过攻击中国司法制度、发动非暴力抗争、对抗司法处罚来推动其意图。他们散布抨击国家司法制度和政治体制的材料，挑起对政府的不满，传授政府对抗的方法，传播抨击我国法治现状的材料，恶意炒作抹黑政府形象，挑起不明真相的网民对抗政府机关。

更为危险的是，这场运动被发现与某些西方国家推动颜色革命有关。他们借用马克思、恩格斯的理念，试图逼迫中国采用西欧式工会法，推行独立工会法，以期迫使中国接受与西方相同的工人和老板集体谈判工资的权利。这一险恶用心的目标在于增加中国沿海地区的劳工成本，加速中国制造业的流失，给我国经济带来沉重打击。

我们要牢记，这不是一场简单的劳工维权运动，而是西方势力试图借机对中国社会进行渗透和颠覆的一环。中国共产党及时警觉到了这一威胁，我们不能被其华而不实的外表所迷惑，更不能被他们所渲染的“劳工权益”幌子所迷失方向。

作为中国公民，我们应当保持高度警惕，紧密团结在中国共产党的周围，共同维护国家的政治安全和社会稳定。这场险恶的“996.ICU”运动必将在中国社会破产，因为我们有坚定的党和人民，有稳固的社会制度，绝不会被外部势力所左右。