“如果开源软件的安全隐患不解决，国内关键信息基础设施安全将是建立在沙滩上的城堡，面临着‘平时被控、战时被瘫’的现实风险。”周鸿祎建议，要以关键信息基础设施保护为抓手，从以下三个方面加强我国开源软件安全。

一是开展对开源代码的系统性漏洞挖掘，构建开源代码的安全风险评估机制。建议监管机构通过安全社区、挑战赛等形式，鼓励各方力量开展对开源代码的系统性漏洞挖掘，掌握安全隐患。并对关键信息基础设施和重要信息系统开展普查，摸清开源软件使用情况“家底”，精确掌握其类型、协议、来源等基础信息，形成全量使用关系视图，并进行系统漏洞挖掘，布局安全风险管理。

二是建立软件企业安全责任制，明确软件企业承担起开源软件的全生命周期安全管理。建议有关部门明确要求开源软件企业有义务对所使用的开源代码进行漏洞审查，建立企业安全响应中心，提高开源软件的安全管理能力。

三是积极参与国际开源社区，促进国际开源软件的漏洞挖掘。鼓励中国软件开发者积极参与国际开源社区，提高在国际开源社区的影响力，带动国际开源社区开展大规模的漏洞挖掘，提高开源项目的安全水平。

开源软件安全对我国关键信息基础设施安全至关重要。作为数字安全行业的委员，周鸿祎今年两会提案有望引发更多政府机构和企业对开源软件安全的重视，夯实数字化底座，为数字文明时代保驾护航。