企业动态

    近日，在中国发展高层论坛2025年年会上，工业和信息化部对外披露，近年来，中国打造开源社区，成立开放原子开源基金会，建设国家级开源社区，鼓励企业积极融入全球开源生态。目前，中国已成为全球开源参与者数量排名第二、增长速度最快的国家。

    今年以来，DeepSeek、阿里等企业密集发布高性能开源大模型，AI浪潮为开源生态发展推波助澜。美国CNBC电视台网站发布标题为《中国对开源的拥抱颠覆了围绕人工智能的传统看法》的文章，称“中国正在积极拥抱开源AI模型，这一趋势推动国内人工智能技术的普及与创新”。中国开源力量的崛起，对全球科技格局产生深远影响。

    1  中国开源生态呈迅猛之势发展

    开源，即开放源代码，是指在遵循特定许可协议的基础上，任何人皆可自由使用、修改以及重新发布软件源代码的一种模式。业界普遍认为，“开源”不仅降低了创新的门槛，使得更多的贡献者得以“站在巨人的肩膀上”，从而参与到前沿技术的创新中；它还汇聚了产业界的智慧，加速传统产业吸收现有成果，有效避免了“重复造轮子”的资源浪费现象，并促进了人才的聚集，激发了无数创新思维的火花。

    数据显示，当前全球高达97%的软件开发者和99%的企业依赖于开源软件，超过70%的新启动软件项目采用开源模式进行开发。有数据统计，如果没有开源软件的存在，企业的研发成本将是现在的3.5倍之多。

    我国政府对开源体系的建设给予了高度重视，国家软件发展战略与“十四五”规划纲要均对开源作出了重要部署，“十四五”规划更是明确提出支持开源社区等创新联合体的发展。经过多年的发展，中国自主研发的开源协作平台现已进入试运营阶段，注册用户数接近150万，标志着我国在开源领域迈出了坚实的一步。

    当前，国内以DeepSeek、通义千问等为代表的开源大模型井喷式发展，加速了开源浪潮在各行业的普及。通过千千万万的开发者和中小企业，开源大模型逐步深入千行百业，包括医疗、教育、金融、电力、交通、计算机等，已经成为驱动各行业数字化转型的重要组成部分。

    2  国内企业软件开源使用率100%

    七成存在超危漏洞

    然而，开源生态的繁荣，其背后也潜藏着严峻的安全挑战。根据奇安信2024年《软件供应链安全报告》显示，国内企业软件项目开源软件使用率达100%，约70%国产软件存在着超危漏洞，开源代码缺陷成为主要的风险源。其中高危缺陷密度、相关漏洞指标以及古老开源软件漏洞等仍处于高位，软件供应链安全风险的管控亟待进一步加强。

    除了代码存在安全缺陷之外，开源软件之间由于存在关联依赖，加剧了开源软件的漏洞管理难度。“开源软件之间的依赖和调用关系非常复杂，其漏洞的放大作用非常显著，简言之，一个开源软件出现漏洞，会导致依赖它的其他开源软件受到影响，而且层层关联依赖，这就导致非常隐蔽和复杂的攻击面。”奇安信代码安全事业部负责人韩建谈到。

    韩建认为，对开源组件的梳理和漏洞分析，一定需要系统化的方法和自动化的工具，才能做到可管理、可持续，不留死角。

    3   提效300%、人力节省84%

    AI驱动开发安全破解难题

    随着国内企业软件开发过程中开源代码的使用越来越多，开源软件已经成为了软件开发的核心基础设施，开源软件的安全问题，应该上升到基础设施安全的高度来对待。

    由于代码是软件的原始形态，软件代码中安全漏洞和未声明功能（后门）的存在是安全事件频繁发生的根源。忽视软件代码自身的安全性，仅仅依靠外围的防护、问题产生后的修补等方法，舍本逐末，必然事倍功半。因此，只有通过管理和技术手段保障了软件代码自身的安全性，再辅以各种安全防护手段，才是解决当前安全问题的根本解决之道。

    为了更高效、更全面的开源软件代码安全问题，奇安信在现有代码卫士、开源卫士的基础上，融合了主流大模型技术，推出“AI+代码卫士”系统。该产品可以完美集成DeepSeek、Qwen、QAX安全大模型等主流大模型，并自动化、批量化的进行代码审计，为开发人员提供个性化、专业化缺陷描述、修复建议、加固代码，帮助开发人员高效提升代码质量，构建信息系统的“内建安全”。

    “AI+代码卫士”搭建和试点应用已取得初步成效。其中人保科技(人保集团旗下企业)于3月份与奇安信集团达成深度合作，率先在保险行业部署“AI+代码卫士”系统，通过大模型技术重构代码安全开发体系。双方将DeepSeek深度融入到人保集团应用安全开发生命周期之中，帮助集团高效发现应用开发中的漏洞和缺陷，并提供智能化修复方案，助力提升人保集团应用系统研发安全水平。

    在DeepSeek加持下，人保集团应用安全的系统漏洞发现效率提升300%，高危漏洞拦截率突破95%；单个系统代码的人工审计时长平均节省83.63%，审计人力成本降低至传统模式的1/6；同时智能代码缺陷审计降噪率约为88.89%，CWE Top25漏洞的检出准确率提升至92.19%；针对特定缺陷和漏洞的定制化修复代码约85%可直接采纳。

    就在2月份，奇安信还与北京银行在AI领域达成深度合作，“AI+代码卫士”产品在北京银行正式部署上线。双方依托已深度集成DeepSeek的QAX安全大模型底座，将AI能力全面融入到代码卫士中，在北京银行的代码审计与修复流程中实现AI“原生化”，联手打造金融行业“AI驱动开发安全”的体系建设新标杆。

    分析人士认为，“AI+代码卫士”在北京银行、人保集团等大型客户的陆续落地，不仅为金融行业树立了多个标杆，更为积极拥抱开源浪潮的广大政企客户，在开发安全体系化建设方面提供了可借鉴和复制的参考样板。