您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。[东吴证券]:计算机应用行业:西方科技制裁俄罗斯,开源软件并不安全 - 发现报告
当前位置:首页/行业研究/报告详情/

计算机应用行业:西方科技制裁俄罗斯,开源软件并不安全

信息技术2022-03-04王紫敬、王世杰东吴证券最***
计算机应用行业:西方科技制裁俄罗斯,开源软件并不安全

俄罗斯被欧美科技巨头全方位制裁:随着俄乌战事推进,美国科技巨头相继宣布制裁俄罗斯。硬件方面,英特尔、AMD、联想、戴尔、苹果等科技企业宣布停止对俄罗斯供货,软件方面,SAP、Oracle等软件巨头宣布停止在俄罗斯的产品销售和服务。这意味使用这些巨头产品的企业、机构业务将面临瘫痪。 开源软件并不安全:一方面,使用开源软件仍有被制裁风险,开源社区Github严格限制俄罗斯获得其维持侵略性军事能力所需的技术和其他物品。另一方面,开源安全漏洞风险显著。根据新思科技《2021开源安全与风险分析报告》显示, 84%的代码库至少含有一个漏洞,近三年漏洞比例逐年增高, 60%的已审核代码库包含高风险漏洞。 俄罗斯早有准备,较早布局国产化:受到这些制裁,环球时报报道称,俄罗斯已做好启用本国互联网系统的准备。俄罗斯较早就布局IT国产化,早在2013年就已经颁布相关国产化政策,并且针对于芯片、操作系统等关键基础软硬件已经有相关替代产品。 西方对俄的科技制裁,告诉我们IT设施的国产化要面向全产业链:中国应该确保IT设施全部环节国产化。从西方对俄罗斯的制裁来看,可谓全方位,任何不能保证自主可控的环节都会成为被攻击的弱点。对中国来说,无论是芯片的设计、制造、封装,还是操作系统的自主开发、社区开源,都需要有自主可控的后手准备。国产化保证了社会经济的正常运转,保障了国家安全,更为未来发展国家自己的信息技术产业打下坚实基础。 行业相关标的:芯片:中科曙光、景嘉微、中国长城;整机:神州数码、浪潮信息;操作系统:中国软件、诚迈科技;数据库:海量数据、太极股份;中间件:东方通、宝兰德;应用软件:用友网络、金山办公;外设:纳思达。 风险提示:1)政策推进不及预期;2)技术创新进度不及预期;3)疫情风险超预期;4)地缘政治风险。 1.俄罗斯被欧美科技巨头制裁 俄乌战事牵动全球经济,微软、苹果、谷歌相继下场制裁俄罗斯。3月3日,国际数据库领域老大甲骨文(Oracle)宣布暂停在俄罗斯联邦的所有业务,这意味着以甲骨文数据库为基础的企业将陷入瘫痪。 硬件方面,英特尔、AMD、联想、戴尔、苹果等科技企业相继被外媒曝出已中断向俄供货,台积电也表示将遵守美国出口管制。2月27日,《俄罗斯商业咨询》(RBC)援引两位IT市场人士的消息报道称,美国CPU企业英特尔和AMD已暂停向俄罗斯出货。 其中一位消息人士称,英特尔和AMD口头告诉俄罗斯客户,两家公司的产品暂时不能运往俄罗斯,而且中国合作伙伴已收到英特尔关于禁止向俄罗斯供应处理器的通知。与此同时,俄罗斯电子开发商和制造商协会(ARPE)也证实了英特尔和AMD“断供”的消息。 软件方面,Oracle、SAP暂停俄罗斯所有业务。2022年3月2日,乌克兰副总理兼数字化转型部长Mykhailo Fedorov要求Oracle和SAP终止与俄罗斯的商业关系。Oracle随后发推文称:“为了Oracle在全球各地的150000名员工的利益,为了支持乌克兰民选政府和乌克兰人民,Oracle公司已经暂停了在俄罗斯联邦的所有业务。”SAP也在官网发文《Standing in Solidarity》响应,称“根据制裁,我们将停止在俄罗斯的业务。此外,暂停所有SAP服务和产品在俄罗斯的销售。” 图1:Oracle暂停俄罗斯业务 图2:SAP暂停俄罗斯业务 2.开源软件并不安全 GitHub限制俄罗斯获取相应技术,开源软件并不安全。Github是全球知名的开源社区,其在官网对俄乌局势做出回应:“我们的法律团队会仔细审查各种官方规定,并遵守正在不断变化的出口管制和贸易法规。这包括实施严格的新出口管制,旨在严格限制俄罗斯获得其维持侵略性军事能力所需的技术和其他物品。”很多人认为开源软件是“完全安全的”,但其实开源软件的许可证协议仍然存在,可能会有诸多限制,尤其是禁止受到制裁的国家使用原本供公众随意访问的代码。 图3:Github限制俄罗斯获取相关技术 开源安全漏洞风险显著。根据新思科技《2021开源安全与风险分析报告》显示, 84%的代码库至少含有一个漏洞,近三年漏洞比例逐年增高, 60%的已审核代码库包含高风险漏洞。根据开源网安Source Check工具对热门开源项目的扫描结果看, 53.8%的项目存在超危风险。早在2006年,美国国土安全部就开展“开源软件代码测试计划”,对大量开源软件进行安全隐患的筛选和加固,截至2017年2月,累计检测各种开源软件7000多个,发现大量安全缺陷。系统信息泄露、密码管理、资源注入、跨站请求伪造、跨站脚本、HTTP消息头注入、SQL注入、越界访问、命令注入、内存泄漏是开源软件主要的安全风险。 根据RiskSense公司报告,2019年,已公开开源CVE漏洞(Common Vulnerabilities &Exposures,通用漏洞披露)的总数(968个)是之前任何一年的两倍还多。相比2018年和2017年,2019年的漏洞数量分别增长了130%和127%。 图4:热门开源项目开源漏洞数量及等级 中国IT基础软硬件国产化推进刻不容缓。一方面,需要坚持自主研发,推出能用、好用的国产基础软硬件。截至2022年2月,在操作系统、中间件和数据库等重要基础软硬件领域,国内已经涌现出麒麟软件、东方通、人大金仓等国产厂商,但性能、生态距离海外先进产品仍有较大差距,相关技术研发仍需加大投入。另一方面,要积极培育国产开源社区。开放原子开源基金会于2020年6月在北京成立,由阿里巴巴、百度、华为、浪潮、360、腾讯、招商银行等十家龙头科技企业联合发起。作为开源项目的孵化器、连接器和倍增器,开放原子开源基金会以对开源代码展开开放治理的形式促成事实标准,连接“政、产、学、研、创、投”,共建开源生态。 3.俄罗斯早有准备,坚定布局国产化 俄罗斯较早就开始布局IT国产化。受到这些制裁,环球时报报道称,俄罗斯已做好启用本国互联网系统的准备。俄罗斯较早就布局IT国产化,2013年11月1日,普京正式批准《2014~2020年俄联邦信息技术产业发展战略及2025年前远景战略》。文件提到,俄罗斯将大数据处理、计算机培训、人机交互、机器人技术、量子和光技术、信息安全作为未来10~15年的长期优先研发项目。2014年1月,俄总理梅德韦杰夫确定了一项由俄联邦教育和科学部起草的《俄联邦2030年前科技发展前景预测》。在该文件确定的未来俄罗斯科学技术发展优先方向中,信息通信技术被列在首位。 俄罗斯基础软硬件国产化进展已经取得突破。芯片领域,俄罗斯的MCST和Baikal Electronics已经推出相关替代产品。操作系统领域,俄罗斯已经有基于Linux的自主操作系统。搜索引擎方面,2014年5月22日,由俄罗斯政府主导的电信运营商Rostelecom推出了俄罗斯自主研发的搜索引擎Sputnik.ru,将成为专属俄罗斯政府控制企业和政府部门的垂直搜索引擎。 4.西方的科技制裁,教会我们要全产业链国产化 数字经济蓬勃发展背景下,IT基础软硬件国产化是必选项。数字经济发展迅速,已经成为国家经济的重要组成部分,根据中国信通院数据,2019年,德、英、美的数字经济占GDP比重已经超过60%,中国的数字经济占GDP比重已经超过30%,国家经济正在逐渐“数字化”。基础软硬件是数字经济的基石,为数字经济的发展提供数据计算、管理、存储等基础支持,IT基础软硬件国产化是保证国家经济稳定发展的必由之路。 图5:2019年全球领先国家数字经济占GDP比重 中国应该确保全部环节自主可控。从西方对俄罗斯的制裁来看,可谓全方位,任何不能保证自主可控的环节都会成为被攻击的弱点。对中国来说,无论是芯片的设计、制造、封装,还是操作系统的自主开发、社区开源,都需要有自主可控的后手准备,哪怕性能弱、功耗高、体积大。信创产业保证了社会经济的正常运转,保障了国家安全,更为未来发展国家自己的信息技术产业打下坚实基础。 5.投资机会及相关标的 数字经济,国产化是基座。 行业相关标的: 芯片:中科曙光、景嘉微、中国长城; 整机:神州数码、浪潮信息; 操作系统:中国软件、诚迈科技; 数据库:海量数据、太极股份; 中间件:东方通、宝兰德; 应用软件:用友网络、金山办公; 外设:纳思达。 6.风险提示 1、政策推进低于预期:IT基础设施国产化相关政策颁布进度低于预期。 2、技术创新进度不及预期:IT基础软硬件产品技术壁垒较高,国产IT厂商技术创新进度可能不及预期。 3、疫情风险超预期:海外疫情情况反复,可能对国家经济造成一定影响。 4、地缘政治风险:俄乌局势变化可能带来的行业不确定性。