密码开源生态研究报告2024.docxVIP

密码开源生态研究报告

（2024年）

编写委员会

编写单位（排名不分先后）：

“密码+”应用推进计划、中国信息通信研究院云计算与大数据研究所、华为技术有限公司、京东科技信息技术有限公司、北京大学、中国科学院信息工程研究所、北京航空航天大学、北京信安世纪科技股份有限公司、西安电子科技大学、上海市数字证书认证中心有限公司、中电科网络安全科技股份有限公司、北京豪密科技有限公司、西安安盟智能科技股份有限公司、北京江南天安科技有限公司、宁夏大学

编写人员（排名不分先后）：赵欣怡、徐秀、马聪、何阳、陆永健、朱丽斌、彭华、陈文静、刘旭、关志、贾世杰、李冰雨、何逸飞、焦靖伟、程珂、牛莹姣、张志金童、张岳熙、杨晶、徐松泉、付长春、张华、赵锋、温旭杰、张钊、刘政杰、冯晔、马自强

前言

随着信息技术的飞速发展，密码技术作为保障信息安全的核心技术，其重要性日益凸显。密码开源作为一种新型的软件开发协作模式，正逐渐受到业界的广泛关注。然而，密码开源生态的复杂性和多样性也带来了诸多问题和挑战，如何构建健康、可持续的密码开源生态，成为当前信息安全领域亟待解决的重要问题。

本研究报告旨在全面剖析密码开源生态发展现状、面临的问题和挑战，并探索未来发展趋势与建议。报告首先从密码开源生态概念入手，详细介绍了密码开源生态架构，跟踪了密码开源生态发展特点，提出了构建密码开源生态对于促进技术创新、提高安全性、降低开发成本、促进产业生态繁荣、促进人才培养、提升国际竞争力等方面具有重要意义。

在此基础上，报告对密码开源生态发展现状进行了深入剖析，包括相关政策、典型项目、商业模式及生态产业链，为深入理解密码开源生态提供了丰富的数据和案例支持。另外，报告指出，当前密码开源生态面临着发展缓慢、标准体系匮乏、供应链安全风险、技术安全风险、知识产权及法律风险及人才建设不足等多重挑战，严重制约了密码开源生态发展。

最后，本研究报告从深化密码开源生态发展、推动密码开源标准体系建设、加强密码开源供应链安全管理、加强密码开源技术研发、推动密码开源知识产权保护、健全密码开源人才队伍等方面给

出了密码开源生态发展建议。

目录

密码开源生态概述 3

密码开源的概念 3

密码开源生态架构 5

密码开源生态发展特点 7

构建密码开源生态的意义 13

密码开源生态发展现状 14

密码开源相关政策 14

典型密码开源项目 17

密码开源商业模式 30

密码开源生态产业链 32

密码开源生态面临的问题和挑战 35

密码开源生态发展较为缓慢 35

密码开源标准体系待制定 36

密码开源面临供应链安全风险 37

密码开源面临技术安全风险 40

密码开源面临知识产权及法律风险 46

密码开源人才建设仍存在不足 48

密码开源生态发展趋势与建议 50

密码开源生态未来发展趋势 50

密码开源生态发展建议 51

参考文献 57

缩略语

OSI OpenSourceInitiative 开放源代码促进会JCE Java

OSI OpenSourceInitiative 开放源代码促进会

SBOM SoftwareBillofMaterials 软件物料清单

图 表 目 录

图表1 密码开源生态架构图 5

图表2 NIST密码模块产品认证数据及占比统计 11

图表3Github平台密码开源项目类型统计图 18

图表4典型国外开源密码库 19

图表5典型国内开源密码库 24

图表6密码开源生态产业链 33

图表7开源密码软件供应链相关漏洞事件 37

图表8开源密码库安全漏洞占比 40

密码开源生态概述

密码开源的概念

开源作为一种协作模式，推动了软件行业的发展。开源形态最

早起源于上世纪60年代，软件作为硬件附属品进行自由分发，并提供源代码。1983

早起源于上世纪60年代，软件作为硬件附属品进行自由分发，并提

供源代码。1983年，RichardMatthewStallman发起了GNU项目，

标志着自由软件运动的开始，通过允许用户自由地使用、修改和分

发软件源代码以促进软件行业分工协作和创新发展。开源软件的明

确定义由OSI于1998年提出，主要强调了开放源码和开源许可证，

即开源软件允许用户在遵循特定许可协议的前提下，对软件的源代

码进行查看、修改、传播等操作，但其源代码的所有权仍属于版权

所有者。开源软件一般都具有以下特点：

源代码开放透明：开源软件的源代码对所有用户可见，任何人都可以查看并修改程序，提高软件的透明度和信任度；

自由分发与派生：用户可自由地复制和重新分发开源软件，同时还可以修改开源软件的源代码，并基于修改后的版本创建新的软件产品；