近日
，國務院發布了《新時期促進集成電路產業和軟件產業高質量發展若幹政策的通知》（以下簡稱“《若幹政策》”），其中強調了軟件產業是信息產業的核心,是引領新一輪科技革命和產業變革的關鍵力量。特別是我國近年來軟件產業的快速發展,有力支撐了國家信息化建設,促進了國民經濟和社會持續健康發展。為進一步優化軟件產業的發展環境,深化產業國際合作,提升產業創新能力和質量,國務院製定了若幹扶持軟件企業的相關政策。

　　《若幹政策》中的第十八條和第三十三條指出“鼓勵軟件企業執行軟件質量
、信息安全、開發管理等國家標準。提高軟件質量,增強行業競爭力。”“完善網絡環境下消費者隱私及商業秘密保護製度,促進軟件和信息技術服務網絡化發展。在各級政府機關和事業單位推廣符合安全要求的軟件產品和服務。”這些條款一方麵從政策上保障了國內軟件行業的快速發展，另一方麵也引發了國內軟件行業對如何保障軟件安全問題的思考。

    國產基礎軟件迎來春天

　　前不久，美國政府單方麵宣布將33家中國公司和機構列入所謂的“實體清單”，被列入名單的公司
、機構與個人都將禁止使用美國公司的產品和技術。目前國內使用的如Windows操作係統，Oracle數據庫管理係統，Office辦公軟件，到CAD，CAE，EDA，CAM，CFD，TCAD等工業軟件，包含MATLAB在zai內nei的de常chang用yong數shu值zhi計ji算suan軟ruan件jian產chan品pin幾ji乎hu全quan部bu來lai自zi於yu歐ou美mei國guo家jia，而er這zhe些xie軟ruan件jian也ye已yi滲shen透tou到dao了le國guo內nei技ji術shu研yan發fa的de方fang方fang麵mian麵mian，從cong高gao校xiao到dao企qi業ye，再zai到dao政zheng府fu單dan位wei，種zhong種zhong跡ji象xiang表biao明ming，各ge種zhong軟ruan件jian斷duan供gong的de可ke能neng性xing未wei來lai會hui越yue來lai越yue高gao。

　　更嚴重的問題集中在工業軟件領域
，我國是製造大國，製造業占比全球約50%
，吸納超過1.5億就業人口，但工業軟件發展和應用水平卻與與地位不符。國內自主工業軟件發展現狀可以概括為“管理軟件強，工程軟件弱；低端軟件多，高端軟件少”。數據顯示，2018年我國工業軟件市場上

，真正把握生產命脈的研發設計軟件和生產控製類軟件
，自主率隻占比13.5%和13.36%。也就是說，一方麵，國內自主工業軟件在生產管理、客戶服務和綜合管理等運營管理領域發展相對較好，在工程研製領域發展略顯遜色
；lingyifangmian，guoneizizhugongyeruanjianzaididuanlingyudejingzhenglixiangduijiaogao，gaoduanlingyuhenduohaishikongbai。zhezhongshouzhiyurendejumianshifeichangbeidong，gengshifeichangweixiande。

　　圖一：軟件類別介紹

　　細分來看，我國研發設計類軟件市場80%被國外公司主導
，其中達索係統和西門子PLM市場占有率分別19.05%和10.73%

；生產控製類軟件市場有60%左右市場份額被西門子、霍尼韋爾
、GE等跨國企業占據
；信息管理類軟件主要由浪潮、用友、金蝶等國內企業主導，但Oracle、SAP等國外企業仍占有15%左右的市場份額。高端產業領域的專用工業軟件則幾乎全部被國外公司壟斷，如：國內集成電路設計公司的設計工作基本全部依靠Synopsys、Cadence、Mentor三家美國公司提供的芯片設計的電子自動化軟件(EDA)；90%的航空企業采用達索公司提供的飛機設計軟件。

　　圖二：來自倪光南院士總結的中國網信領域長短板

　　智能化時代的到來，進一步凸顯了工業軟件的戰略意義。美國GE公司麵向2020年的目標就是在傳統製造的基礎上成為全球十大軟件公司之一，在硬件與軟件的結合中尋找新的增長機遇。

　　業內人士表示
，工業軟件是製造業的大腦，是核心指揮係統

，缺少了大腦的國內製造業無法實現全生命周期管理。一味的引進國外軟件、設she備bei和he生sheng產chan線xian會hui使shi得de國guo內nei製zhi造zao業ye變bian成cheng軀qu殼ke，變bian成cheng全quan球qiu製zhi造zao業ye的de執zhi行xing係xi統tong。過guo度du依yi賴lai國guo外wai工gong業ye軟ruan件jian
，失shi去qu的de不bu僅jin是shi軟ruan件jian市shi場chang，更geng存cun在zai喪sang失shi產chan業ye發fa展zhan主zhu動dong權quan和he影ying響xiang產chan業ye信xin息xi安an全quan的de風feng險xian。

　　在(zai)如(ru)此(ci)中(zhong)外(wai)貿(mao)易(yi)摩(mo)擦(ca)升(sheng)級(ji)

，沒(mei)有(you)國(guo)外(wai)軟(ruan)件(jian)可(ke)用(yong)的(de)外(wai)患(huan)下(xia)，國(guo)家(jia)正(zheng)在(zai)大(da)力(li)扶(fu)持(chi)工(gong)業(ye)軟(ruan)件(jian)發(fa)展(zhan)。工(gong)信(xin)部(bu)召(zhao)開(kai)的(de)全(quan)國(guo)軟(ruan)件(jian)服(fu)務(wu)業(ye)工(gong)作(zuo)座(zuo)談(tan)會(hui)明(ming)確(que)指(zhi)出(chu)：要抓住傳統產業改造升級的迫切需求，大力發展工業軟件和行業解決方案，大力發展麵向企業研發設計、生產自動化、流程管理等環節的工業軟件、嵌入式軟件以及解決方案等。從中國製造到中國創造
，工業軟件是個橋梁，國內廠商必將迎來蓬勃發展的機會。

　　特別是國務院《若幹政策》中(zhong)
，鼓(gu)勵(li)大(da)中(zhong)型(xing)企(qi)業(ye)依(yi)托(tuo)信(xin)息(xi)技(ji)術(shu)研(yan)發(fa)機(ji)構(gou)成(cheng)立(li)專(zhuan)業(ye)化(hua)的(de)軟(ruan)件(jian)公(gong)司(si)，優(you)先(xian)在(zai)成(cheng)熟(shu)的(de)工(gong)業(ye)領(ling)域(yu)，培(pei)育(yu)一(yi)批(pi)具(ju)有(you)國(guo)際(ji)影(ying)響(xiang)力(li)的(de)工(gong)業(ye)軟(ruan)件(jian)企(qi)業(ye)
，有(you)利(li)於(yu)發(fa)揮(hui)市(shi)場(chang)應(ying)用(yong)優(you)勢(shi)打(da)造(zao)一(yi)批(pi)知(zhi)名(ming)工(gong)業(ye)軟(ruan)件(jian)產(chan)品(pin)；yejianyixiangguanbumendalizhichiguoneiqiyejituanfahuixingyelingyuyoushihetechang，chenglizhuanyehuaruanjianhexinxijishufuwuqiye
，peiyuxingyexifenlingyudelongtouruanjianqiye
，dazaozhimingderuanjianchanpin。

　　清華大學軟件學院院長王建民預測，到2025年
，我國將形成自主可控的操作係統與工業軟件及其標準體係，自主工業軟件具有滿足市場50%的供給能力
，自主工業互聯網雲平台在重點行業的應用普及率超過60%，工業軟件市場空間可達數千億。

    軟件安全不容忽視

　　據工信部統計，2019年我國累計完成軟件業務收入約7.18萬億元，軟件和信息技術服務業實現利潤總額9362億元，盈利能力穩步提升。受信息技術服務加快雲化發展，軟件應用服務化、平台化趨勢明顯
，工業軟件自主化等利好影響，我國軟件行業發展不斷加速
，迎來由量變向質變的提升新階段。

　　但與此同時
，我們也要清醒的認識到軟件開發安全和應用安全的重要程度，尤其是工業行業，作為近年來地緣政治爭奪和網絡空間對抗的主戰場，攻擊事件頻發
、多發。僅今年上半年，就有包括以色列水利基礎設施、伊朗重要港口朗沙希德·拉賈伊、某汽車製造商、某葡萄牙跨國能源公司在內的多個大型工業企業
、政府機構遭到攻擊，以色列官員更是承認經濟損失已成為最不重要的損失。世界形式持續緊張，各種玩家粉墨登場，攻擊覆蓋行業麵廣
，石油、能源、電力

、製造
、水利、公共設施
，無一幸免。攻擊手段綜合複雜
，數據竊取
、隱蔽控製、勒索謀財，無所不用。

　　新興的智能工業時代使安全成為全球工業組織的首要任務，工控係統的複雜化、IT化和通用化加劇了係統的安全隱患。尤其是以雲、開源、weifuwuweidaibiaodegongyehulianwang
，qikaifaguochengdaliangshiyongdisanfangzujianhekaiyuanruanjiantigaoruanjiandiedaixiaolv，dankenengyouyihuowuyijiangdisanfangzujianhekaiyuanruanjiananquanquexianyinruruanjian，bingjiangsuizheruanjiandeshiyongerkuosan。

　　根據Sonatype的軟件供應鏈報告顯示
，Java

、JavaScript和Python的開源組件數量已分別達到了350萬個、550萬個和到140萬個。對中央倉庫中350萬個Java組件的分析結果顯示，超過10%的組件至少包含一個已知漏洞；事實上

，研究人員發現，這些組件中有共計300多萬個漏洞，任何一個漏洞都可能成為攻擊者的攻擊目標。

　　越底層的東西，搭建難度就越大。buzhongfuzaolunzishiwoguoruanjianxingyekuaisuzizhuhuawandaochaochefazhandequdongli


，dandaliangshiyongkaiyuansuanfahekuangjiayeyoukenengshizaibulaogudedijishanggailou，yidandicengchuxianwenti，houguobukanshexiang。

    安全開發行業市場將迎來爆發增長

　　在國家高度重視網絡安全保障的情況下，沒有經過合理安全開發、充分安全測試、有效消除缺陷的“自帶漏洞”軟件產品大量湧入市場、投入實際應用，必將為已初步成形的國家網絡安全保障態勢帶來新的隱患。

　　微軟於2004年提出安全開發生命周期（SDL），yiyoushiduonianlishi，zaibangzhukaifarenyuangoujiangenganquanderuanjianhejiejueanquanheguiyaoqiudetongshijiangdikaifachengbenderuanjiankaifaguochengdefangfalunhegongju，zhongxinjinrulewoguoruanjianxingyedeshiye。butongyuwangluoanquanzaikaifawanchenghouduiruanjiandeshujujiaohuanjinxingfangkong，安全開發旨在從開發階段將黑客對軟件的攻擊麵最小化，從源頭杜絕安全問題。

據統計，應用安全開發流程工具的平均成本占軟件開發總成本的3%到5%，卻可以避免因安全事故或黑客入侵而造成遠高於整體開發成本的損失。Aberdeen Group的研究表明
，采取“從源頭保證安全”策略的公司，其每年在應用安全方麵的投資可實現高達4倍的收益，著名的研究公司Forrester Research再次證實了這一發現，聲稱需求分析層麵糾正安全缺陷的成本，比現場修複的成本低100倍。

　　圖三：Microsoft 提出的SDL安全開發生命周期模型

　　業(ye)界(jie)已(yi)普(pu)遍(bian)意(yi)識(shi)到(dao)把(ba)安(an)全(quan)從(cong)運(yun)維(wei)端(duan)左(zuo)移(yi)到(dao)開(kai)發(fa)過(guo)程(cheng)中(zhong)，才(cai)是(shi)更(geng)優(you)的(de)選(xuan)項(xiang)。如(ru)微(wei)軟(ruan)這(zhe)樣(yang)的(de)大(da)型(xing)企(qi)業(ye)也(ye)無(wu)法(fa)避(bi)免(mian)軟(ruan)件(jian)安(an)全(quan)漏(lou)洞(dong)所(suo)帶(dai)來(lai)的(de)損(sun)失(shi)，國(guo)內(nei)軟(ruan)件(jian)行(xing)業(ye)也(ye)將(jiang)會(hui)同(tong)樣(yang)麵(mian)臨(lin)安(an)全(quan)問(wen)題(ti)所(suo)帶(dai)來(lai)的(de)嚴(yan)峻(jun)考(kao)驗(yan)。國(guo)產(chan)軟(ruan)件(jian)行(xing)業(ye)爆(bao)發(fa)的(de)同(tong)時(shi)，安(an)全(quan)需(xu)求(qiu)市(shi)場(chang)也(ye)必(bi)將(jiang)快(kuai)速(su)崛(jue)起(qi)。

　　suizheyunjisuandepubianyingyong
，weifuwujiagouyurongqijishudeshiyongquxiangchengshu，jiweiqiyeyewugaosufazhantigonglechongzudejishubaozhang，youduiruanjiankaifayunweigongzuodailailegenggaodeyaoqiu。geqiyeshiyongdekaifayunweimoxingbujinxiangtong，youpubumoxing、敏捷模型、DevOps等

，軟件安全一直都是貫穿始終的核心
，形成不同的安全開發模型。在軟件開發生命周期(Software Development Life Cycle)內
，不同的安全開發模型

，適用場景各有側重：SDL安(an)全(quan)開(kai)發(fa)模(mo)型(xing)適(shi)用(yong)於(yu)係(xi)統(tong)軟(ruan)件(jian)
，如(ru)操(cao)作(zuo)係(xi)統(tong)，編(bian)譯(yi)處(chu)理(li)軟(ruan)件(jian)，數(shu)據(ju)庫(ku)及(ji)管(guan)理(li)係(xi)統(tong)，硬(ying)件(jian)控(kong)製(zhi)係(xi)統(tong)等(deng)
，具(ju)有(you)綜(zong)合(he)性(xing)，周(zhou)期(qi)長(chang)，迭(die)代(dai)慢(man)等(deng)特(te)點(dian)，其(qi)開(kai)發(fa)過(guo)程(cheng)如(ru)同(tong)瀑(pu)布(bu)流(liu)程(cheng)，一(yi)步(bu)一(yi)步(bu)地(di)進(jin)行(xing)分(fen)析(xi)，預(yu)測(ce)，實(shi)現(xian)，測(ce)試(shi)
，實(shi)施(shi)和(he)支(zhi)持(chi)階(jie)段(duan)

；DevSecOps安全開發模型適用於應用軟件，如文字表格處理，圖形圖像處理，統計演示軟件，網絡通信軟件等
，具有周期短、迭代快、市場反饋靈活等特點，與傳統開發流程相比
，能夠幫助企業更快的發展和改進產品，更好的服務其客戶，並在市場上高效的參與競爭。

　　開源網安的核心理念與此次國務院頒布的《若幹政策》可謂不謀而合。開源網安一直以來秉承“讓企業交付更安全的軟件”的核心理念，致力於幫助企業提升軟件的安全與質量，持續向客戶提供覆蓋軟件安全開發全生命周期的安全產品
、解決方案、安全培訓及安全服務。

　　其中開源網安軟件安全全生命周期平台（S-SDLC）整合了安全開發流程
、方法、工具
，幫助企業快捷交付安全、kekaoderuanjian。pingtaijichengkaiyuanwanganpangdadeweixieshujukuheanquanxuqiuku，quanmianfugairuanjiankaifacongjiagoushejidaobushuyunweigegejieduandeanquanxuqiu。yidazaoanquanderuanjianchanpinweihexinmubiao

，jiyuchajufenxihexianyoukaifaliucheng

，zhezhonggouzaoanquankaifanengli，kedingzhihuajiaofu。

　　圖四：開源網安S-SDLC平台解決方案

　　除此之外，開源網安還提供灰盒安全測試平台(VulHunter)、開源組件安全及合規管理平台(SourceCheck)

、代碼審核平台（CodeSec）
、模糊測試平台（SFuzz）、實時應用自我防護平台（RASP）等多項產品

，同時，基於各產品綜合特性，進行優化組合，提供DevSecOps平台解決方案，為保障軟件安全保駕護航。

　　《若幹政策》的出台將進一步推動軟件行業的高速發展，而保障軟件安全則是發展的重中之重。開源網安作為“軟件安全行業的創領者” 及國內領先的軟件安全全生命周期（S-SDLC）解jie決jue方fang案an提ti供gong商shang，未wei來lai將jiang不bu斷duan提ti升sheng自zi身shen水shui準zhun，緊jin跟gen國guo家jia政zheng策ce，助zhu力li政zheng府fu及ji企qi業ye保bao障zhang軟ruan件jian安an全quan，為wei推tui動dong我wo國guo軟ruan件jian產chan業ye實shi現xian高gao質zhi量liang發fa展zhan作zuo出chu貢gong獻xian。