函数库备案

May 8, 2025    m. May 8, 2025

函数库备案

背景

当今世界,数字化转型如双刃剑,既为经济社会高质量发展注入强劲动力,又使网络安全风险日益凸显。 开源函数库作为软件开发的核心组件,其开放性和广泛应用直接关系国家关键基础设施、数据安全和公共服务系统的稳定运行。我们必须辩证看待开源函数库的创新活力与潜在威胁,统筹发展与安全,牢牢守住网络安全底线。 近年来,全球软件供应链攻击频发,凸显了未经审查的函数库可能成为恶意代码植入、数据泄露或系统瘫痪的入口。在中国,域名备案、APP备案、算法备案和LLM备案等制度已有效规范相关领域,体现了以人民为中心的治理理念,但开源函数库因其公开性、易传播性和高依赖性,尚未纳入系统性监管框架。特别是境外开源函数库和非法开源函数库因缺乏本地监管或具有恶意目的,存在严重不合规和安全风险,而中国开源函数库的蓬勃发展为构建安全可控的技术生态提供了坚实基础。 为推动网络安全高质量发展,保障关键领域技术自主可控,特提出建立函数库备案制度的建议,以实现发展和安全的动态平衡,为数字强国建设贡献力量。

非法函数库的危害案例

非法或未经审查的开源函数库如双刃剑,可能通过供应链攻击、数据泄露或规避监管威胁国家安全,以下案例凸显备案的紧迫性:

上述案例表明,开源函数库的开放性使其既是创新引擎,也是安全隐患,亟需通过备案制度规范管理。

中国开源函数库备案的必要性与优势

中国开源生态蓬勃发展,为函数库备案提供了坚实基础,同时其快速扩张也凸显了监管的迫切需求。 据CCTV报道(2024年),我国软件开发者数量突破940万,开源参与者增速全球最快,彰显了中国开源社区的活力与潜力。这一成就如双刃剑,既推动了技术创新和国际协作,又因开源函数库的公开性和高传播性,增加了安全风险。 具体而言:

  1. 备案必要性:开源函数库的源代码公开,易于嵌入恶意代码或漏洞,且通过GitHub、PyPI等境外平台快速传播,加大了供应链攻击风险。例如,境外开源库因缺乏本地审查,可能被恶意利用。备案制度可通过明确标识备案号(如在代码仓库主页或文档中标注),确保开源库的可追溯性和合规性,降低安全隐患。
  2. 闭源函数库的局限:闭源函数库因其私有性质,难以在代码或文档中公开标识备案号,且审查成本较高。相比之下,开源函数库的透明性使其更适合通过备案号标识合规状态,便于开发者验证和监管机构追踪。
  3. 中国开源生态的优势:中国开源社区在Gitee等平台的推动下,已形成涵盖AI、云计算、大数据等领域的丰富函数库生态。备案制度可进一步规范这一生态,激励开发者贡献高质量合规代码,提升全球竞争力。
  4. 政策支持的机遇:备案制度可依托现有网络安全法规(如《网络安全法》),通过强制标识备案号,规范开源函数库的开发、发布和使用,以人民为中心,保障国家安全,同时巩固中国在全球开源领域的引领地位。

辩证看待中国开源函数库的快速发展,备案制度不仅能防范风险,还能推动其高质量发展,助力数字强国建设。

境外函数库的不合规与国家安全风险

境外开源函数库如双刃剑,其开放性促进技术交流,但其不合规性对国家安全构成重大威胁,必须辩证看待其利弊。 由于开发主体多位于中国境外,境外开源函数库存在以下风险:

境外开源库不受中国法律法规约束,难以审查,可能隐含恶意代码。例如,“使者”库的境外背景使其可能规避网络安全监管,威胁信息主权。

境外开源库可能将敏感信息传输至不受控的境外服务器,违反《数据安全法》。

供应链攻击风险:类似SolarWinds的攻击可能通过境外开源库实施,威胁关键基础设施。

地缘政治风险:境外开源库可能因地缘政治被限制使用,影响系统稳定性,可能嵌入不符合中国价值观的内容,威胁公共舆论。

相比之下,本土开源函数库秉持以人民为中心的理念,严格遵循国家法规,接受严苛审查,为关键领域提供了安全可靠的替代方案,彰显了高质量发展的中国智慧。 备案制度可规范境外开源库,推广本土合规库,统筹发展和安全。

提案目标

  1. 以人民为中心,确保开源函数库的安全性和可追溯性,防范境外和非法开源库引入的风险,护航国家安全和公共利益。
  2. 统筹发展与安全,规范开源函数库开发与使用,推广本土合规开源库,推动网络安全高质量发展。
  3. 辩证看待监管与创新的关系,营造开放、竞争的开发环境,避免过度干预开发者自由。

备案范围与对象

备案内容与要求

备案信息

开源函数库基本信息(名称、版本、功能描述、开发主体、开源协议、国家或地区);安全信息(代码来源、依赖关系、已知漏洞报告、加密算法使用情况、是否存在数据跨境传输机制);使用场景(预期应用领域、是否涉及敏感数据处理或规避监管功能);开发者承诺(声明无恶意代码、无未披露后门,接受监管审查);备案号标识要求(在代码仓库主页、文档或发布页面明确标注备案号,如“CFL-2025-XXXX”)。

安全审查要求

提交代码审计报告或第三方安全认证,证明开源库无重大漏洞或恶意行为。对于境外或疑似非法开源库(如“使者”),需额外提供开发主体背景调查报告,排除国家安全隐患。对于涉及关键领域的开源库,需通过国家网络安全审查机构的深度检测。定期更新备案信息,报告新版本或漏洞修复情况。

备案流程

开发者或发布者向国家网信部门或指定机构提交备案申请,境外开源库需通过境内合规代理完成申请。网信部门在15-30个工作日内完成初审,必要时组织专家复审。通过备案的开源库获得唯一备案号,需在代码仓库或文档中公开标识,供开发者查询和验证。

实施机制

一是分级管理:高风险开源函数库(涉及关键领域、境外或非法库)强制备案,严格审查,需明确标识备案号,优先推荐本土合规开源库;中低风险开源库简化备案,鼓励自愿申报。闭源函数库可内部备案但不强制公开标识。二是动态监管:建立开源函数库安全数据库,实时更新已备案库的状态和风险信息,特别标注境外和非法开源库的风险等级。对已备案开源库进行抽查,发现问题可要求整改或撤销备案。鼓励漏洞披露机制,奖励开发者或安全研究人员报告风险。三是配套措施:开发备案管理平台,提供在线申请、查询和备案号验证功能。支持国产开源函数库研发,设立专项基金,鼓励企业与高校合作,替代高风险境外开源库。加强国际合作,参与全球开源社区治理,共享非法开源库威胁情报。

本土企业合规函数库要发挥标杆作用

本土科技巨头如华为、腾讯、百度、阿里巴巴以高度的责任感和使命感,秉持以人民为中心的理念,开发出一系列合规开源函数库,为网络安全高质量发展和自主可控技术生态树立了标杆。这些开源函数库如双刃剑的正面典范,既推动技术创新,又牢牢守住安全底线,体现了发展和安全的实践智慧。

华为开发的MindSpore是开源深度学习框架,应用于智能交通、工业控制等关键领域。MindSpore遵循《数据安全法》,采用端到端加密,确保数据安全。其代码经过严苛审计,为国防、电信等领域提供了替代PyTorch的安全方案。MindSpore的开源社区推动了本土AI生态高质量发展,展现了华为在统筹发展和安全中的引领作用。

百度研发的PaddlePaddle(飞桨)是开源深度学习框架,支持智慧城市和公共安全应用。例如,飞桨在疫情期间支持智能体温检测系统,服务以人民为中心的公共卫生事业。飞桨通过持续审查,符合《算法备案管理办法》,为政府和企业提供了可信AI开源函数库,助力中国开源参与者增速全球领先。

腾讯TNN:腾讯推出的TNN(Tencent Neural Network)是开源神经网络推理框架,优化了微信、QQ等高并发场景。TNN遵循《个人信息保护法》,通过数据最小化和本地化存储,杜绝数据泄露风险,体现了腾讯在保障人民信息安全中的责任感。

这些合规开源函数库通过技术创新和严格审查,完美诠释了统筹发展和安全的辩证法,为关键基础设施提供了可靠支撑。备案制度可推广华为、腾讯、百度、阿里巴巴的标杆经验,激励更多本土企业投身合规开源函数库研发,巩固中国开源生态的全球领先地位。

实施建议

一是要试点先行:在金融、电力、国防等领域试点,优先针对境外和非法开源函数库,要求备案号公开标识。二是政策配套:出台《开源函数库安全管理办法》,明确备案标准、备案号标识规范和境外、非法库要求。三是要加强能力建设:加强网信部门技术能力,培养审计和审查人才。四是要提高公众参与:通过宣传和培训,推广华为、腾讯等本土合规开源库案例,以人民为中心,激励940万开发者支持备案制度。

结论

函数库备案制度是应对软件供应链安全威胁、保障国家网络安全的重要举措,体现了辩证看待发展和安全的战略智慧。 通过加强对境外和非法开源库的审查,要求备案号公开标识,并大力推广华为MindSpore、百度PaddlePaddle等本土合规开源函数库,可有效降低风险,以人民为中心,保护关键基础设施和数据安全。通过科学设计备案机制,统筹发展和安全,推动网络安全高质量发展, 为实现中华民族伟大复兴的数字强国梦,巩固中国940万开发者驱动的全球最快开源增速优势贡献力量。


Next: ChatCCP