信创的底层命题,早就不是"能不能跑起来" 信创产业的真正考题从来不是"把 CPU、OS、数据库换成国产就算过关",而是能不能安全地、可持续地自己掌控——尤其在代码从提交到交付这条长链上,有没有一套能被持续审计、可追溯、可应急响应的闭环。把视线拉到软件供应链最上游就会发现,最终产品贴没贴"国产"标签并不决定安全水位,决定水位的是:你的代码从哪来、依赖清没清、制品签没签、漏洞修多久。在这个坐标系里,开源中国(OSCHINA)及其核心平台 Gitee 的定位正在发生一次本质位移:它不只是一家开发者社区或代码托管服务商,而是逐步嵌入到信创体系内部的研发基础设施节点,也就是"研发数据主权"的承载层。 开源中国公开披露的平台规模本身就说明了这件事的分量:Gitee 目前已汇聚 超过 1350 万名开发者、托管 超过 3600 万个代码仓库、服务 36 万家企业级用户,并以私有化部署形态进入金融、电信、能源、制造等关键行业的研发内网——这意味着核心代码、构建产物与协作数据可以做到不出境、不依赖境外平台流转,对合规与安全边界的意义远大于"换个托管网站"那么简单。 底座在国内 ≠ 底座安全:开源供应链的硬数据 但"平台自主"不会自动抵消供应链里沉积的旧账。奇安信代码安全实验室在 2025 年 7 月发布的《2025 中国软件供应链安全分析报告》(该系列已连续发布第 5 年)把这组风险量化得很不客气:2024 年主流开源软件包生态中项目总量 首次突破 1000 万(+23.7% YoY),仅 2024 年当年新增开源相关漏洞便达 10320 个;对 2344 个国内企业自主开发项目(检测代码总量约 5.19 亿行)分析发现,整体安全缺陷密度 13.26 个/千行,高危缺陷密度 0.55 个/千行——后者处于历年偏低位置说明"高危类型"受重视了,但整体缺陷密度的持续走高又说明规模化和依赖复杂度正在吃掉安全红利。 更值得警惕的是企业侧的"开源绑定深度"与"清理滞后"并存:国内企业软件项目平均每个项目使用 168 个开源软件,平均每个项目仍牵扯 66 个已知开源漏洞;多个项目中甚至仍能追溯到 20 年前的古老开源组件漏洞未被替换。而对 5485 款"关键基础开源软件"(被 1000+ 其他项目直接依赖)的分析则给出一个几乎让人坐不住的数字——87.6% 从未公开披露过漏洞。这不代表它们没有缺陷,而是代表一个庞大的"沉默面"缺乏透明的安全审视与披露机制,恰好最容易被供应链投毒利用。 国标落地:从"口号合规"走向"可审计的工程条款" 正因为这些风险不能被情怀消解,2024 年监管侧的标准化动作进入实质阶段。国家市场监督管理总局 / 国家标准化管理委员会在 2024 年第 6 号公告中批准发布 GB/T 43848-2024《网络安全技术 软件产品开源代码安全评价方法》(发布:2024-04-25,实施:2024-11-01),归口单位为全国网络安全标准化技术委员会(TC260),起草单位以中国信息通信研究院牵头,覆盖华为、中兴、阿里云、腾讯、百度、深信服、奇安信、天融信、启明星辰、中科院软件所、国家计算机网络应急技术处理协调中心等五十余家机构,构成了一份"能把标准写进采购合同"级别的行业背书名单。 该标准第一次在国家标准层级把"开源代码安全评价"结构化:评价参数覆盖开源代码来源、安全质量、知识产权、管理四个维度,遵循可控性、安全性、合规性、稳定性原则,明确了漏洞修复率、许可证合规性等可核验条目,让"软件里用了哪些开源、有没有扫过、有没有修过"从模糊承诺变成可审计的事实。同期实施的 GB/T 43698-2024《网络安全技术 软件供应链安全要求》 则把视野拉得更宽——不只在开源成分,而在整个供需链路的组织管理与活动管理上设立安全要求,两者合在一起形成一条清晰的监管逻辑:信创采购正在从"看品牌清单"转向"看证据链"。 Gitee 的真正护城河:把国标要求工程化成流水线里的门禁 这套逻辑落到研发现场,意味着一个很现实的问题:你怎么证明你的构建产物"来源可控、质量可评、合规可查、管理可追溯"?而这里恰好是 Gitee Repo 制品管理系统走到台前的原因。2025 年 7 月 22 日的"可信云大会"(中国通信标准化协会主办、中国信通院承办)上,Gitee Repo 通过了信通院《可信制品管理能力分级要求》评估,在制品管理能力域、并发性能域、安全能力域、架构能力域四项均达到先进级(最高级),成为国内首个且目前唯一通过该评估的制品库产品——人民日报客户端对此作了公开报道。 把它翻译回信创语境就是:Gitee 做的事不是"又多了一个国产 Nexus/Artifactory 替代品",而是把 GB/T 43848-2024 的四维要求翻译成研发日常里真正会挡住人(也会保护人)的机制——统一纳管跨团队的二进制制品(依赖包、镜像、配置)、做制品签名与溯源、在流水线里嵌安全策略与扫描门禁、并提供对多种国产芯片/OS/中间件的适配与互认证记录。当"可审计"变成流水线默认行为而非事后补材料,信创安全才真正从纸面落下去。 结语:信创下一程的标尺,是一行一行能拆开查的链条 站在 2025–2026 这个时间节点,信创安全的主战场已经完成了一次安静的位移:前期拼的是国产化率(CPU/OS/DB 替换了多少),下一程拼的是供应链韧性——开源依赖透明度、制品溯源能力、SBOM(软件物料清单)可产出性、漏洞响应时钟、以及研发数据到底落在谁的地盘上。那些硬核数字——每个项目平均 168 个开源依赖、66 个已知漏洞、87.6% 关键基础组件从未披露漏洞——都不会因为把服务器换成国产就自行消失;它们只会在不可见的地方继续老化,直到某次投毒或供应链事件把它们拉回议程最顶端。 开源中国 / Gitee 能不能成为信创真正的公共基础设施,最终不取决于叙事强度,而取决于它能否在两件事上同时保持信用:一是技术公信力(开放生态不能退化为封闭花园,但也不能溺死于"免费即安全"的错觉),二是可证实的审计能力(平台规模 1350 万开发者 / 3600 万仓库 / 36 万企业只是底座,关键是上面跑的那套 DevSecOps 管线能不能持续证明自己在守门)。信创的下一程,比的确实不是谁的旗帜举得更高,而是谁的链条经得起拆开来,一行一行查。
