计算机应用行业：西方科技制裁俄罗斯，开源软件并不安全

证券研究报告·行业研究·计算机应用 计算机应用行业 1 / 9 东吴证券研究所 请务必阅读正文之后的免责声明部分 [Table_Main] 西方科技制裁俄罗斯，开源软件并不安全 增持（维持） 投资要点  俄罗斯被欧美科技巨头全方位制裁：随着俄乌战事推进，美国科技巨头相继宣布制裁俄罗斯。硬件方面，英特尔、AMD、联想、戴尔、苹果等科技企业宣布停止对俄罗斯供货，软件方面，SAP、Oracle等软件巨头宣布停止在俄罗斯的产品销售和服务。这意味使用这些巨头产品的企业、机构业务将面临瘫痪。  开源软件并不安全：一方面，使用开源软件仍有被制裁风险，开源社区Github严格限制俄罗斯获得其维持侵略性军事能力所需的技术和其他物品。另一方面，开源安全漏洞风险显著。根据新思科技《2021开源安全与风险分析报告》显示, 84%的代码库至少含有一个漏洞,近三年漏洞比例逐年增高, 60%的已审核代码库包含高风险漏洞。  俄罗斯早有准备，较早布局国产化：受到这些制裁，环球时报报道称，俄罗斯已做好启用本国互联网系统的准备。俄罗斯较早就布局IT国产化，早在2013年就已经颁布相关国产化政策，并且针对于芯片、操作系统等关键基础软硬件已经有相关替代产品。  西方对俄的科技制裁，告诉我们IT设施的国产化要面向全产业链：中国应该确保IT设施全部环节国产化。从西方对俄罗斯的制裁来看，可谓全方位，任何不能保证自主可控的环节都会成为被攻击的弱点。对中国来说，无论是芯片的设计、制造、封装，还是操作系统的自主开发、社区开源，都需要有自主可控的后手准备。国产化保证了社会经济的正常运转，保障了国家安全，更为未来发展国家自己的信息技术产业打下坚实基础。  行业相关标的：芯片：中科曙光、景嘉微、中国长城；整机：神州数码、浪潮信息；操作系统：中国软件、诚迈科技；数据库：海量数据、太极股份；中间件：东方通、宝兰德；应用软件：用友网络、金山办公；外设：纳思达。  风险提示：1）政策推进不及预期；2）技术创新进度不及预期；3）疫情风险超预期；4）地缘政治风险。 [Table_PicQuote] 行业走势 [Table_Report] 相关研究 1、《计算机应用行业：数字经济新进展：“东数西算”工程正式全面启动，中移动招标鲲鹏占比近20%》2022-02-22 2、《计算机应用行业：深思美国EDA强盛之路，坐看国产EDA星火燎原》2021-12-31 3、《计算机应用行业：云计算公司PS估值研究：计算远期稳态净利率的一种方法》2021-12-21 [Table_Author] 2022年3月4日 证券分析师 王紫敬 执业证号：S0600521080005 021-60199781 wangzj@dwzq.com.cn 研究助理 王世杰 wangshijie@dwzq.com.cn -40%-20%0%20%40%2020-092021-012021-05沪深300计算机应用(申万) 2 / 9 东吴证券研究所 请务必阅读正文之后的免责声明部分 [Table_Yemei] 行业点评报告 内容目录 1. 俄罗斯被欧美科技巨头制裁 .......................................................................................................... 4 2. 开源软件并不安全 .......................................................................................................................... 4 3. 俄罗斯早有准备，坚定布局国产化 .............................................................................................. 6 4. 西方的科技制裁，教会我们要全产业链国产化 .......................................................................... 6 5. 投资机会及相关标的 ...................................................................................................................... 7 6. 风险提示 .......................................................................................................................................... 7 pRoOnNsQbRbP8OmOrRpNmOiNpPtQlOnNmR8OqQvMwMmOoOxNoPoR 3 / 9 东吴证券研究所 请务必阅读正文之后的免责声明部分 [Table_Yemei] 行业点评报告 图表目录 图1：Oracle暂停俄罗斯业务 ............................................................................................................ 4 图2：SAP暂停俄罗斯业务 ................................................................................................................ 4 图3：Github限制俄罗斯获取相关技术 ........................................................................................... 5 图4：热门开源项目开源漏洞数量及等级 ........................................................................................ 5 图5：2019年全球领先国家数字经济占GDP比重 ......................................................................... 7 4 / 9 东吴证券研究所 请务必阅读正文之后的免责声明部分 [Table_Yemei] 行业点评报告 1. 俄罗斯被欧美科技巨头制裁 俄乌战事牵动全球经济，微软、苹果、谷歌相继下场制裁俄罗斯。3月3日，国际数据库领域老大甲骨文（Oracle）宣布暂停在俄罗斯联邦的所有业务，这意味着以甲骨文数据库为基础的企业将陷入瘫痪。 硬件方面，英特尔、AMD、联想、戴尔、苹果等科技企业相继被外媒曝出已中断向俄供货，台积电也表示将遵守美国出口管制。2月27日，《俄罗斯商业咨询》（RBC）援引两位IT市场人士的消息报道称，美国CPU企业英特尔和AMD已暂停向俄罗斯出货。其中一位消息人士称，英特尔和AMD口头告诉俄罗斯客户，两家公司的产品暂时不能运往俄罗斯，而且中国合作伙伴已收到英特尔关于禁止向俄罗斯供应处理器的通知。与此同时，俄罗斯电子开发商和制造商协会（ARPE）也证实了英特尔和AMD“断供”的消息。 软件方面，Oracle、SAP暂停俄罗斯所有业务。2022年3月2日，乌克兰副总理兼数字化转型部长Mykhailo Fedorov要求Oracle和SAP终止与俄罗斯的商业关系。Oracle随后发推文称：“为了Oracle在全球各地的150000名员工的利益，为了支持乌克兰民选政府和乌克兰人民，Oracle公司已经暂停了在俄罗斯联邦的所有业务。” SAP 也在官网发文《Standing in Solidarity》响应，称“根据制裁，我们将停止在俄罗斯的业务。此外，暂停所有SAP服务和产品在俄罗斯的销售。” 图1：Oracle暂停俄罗斯业务 图2：SAP暂停俄罗斯业务 数据来源：Oracle官方Twitter，东吴证券研究所 数据来源：SAP官网，东吴证券研究所 2. 开源软件并不安全 GitHub 限制俄罗斯获取相应技术，开源软件并不安全。Github是全球知名的开源社区，其在官网对俄乌局势做出回应：“我们的法律团队会仔细审查各种官方规定，并遵守正在不断变化的出口管制和贸易法规。这包括实施严格的新出口管制，旨在严格限制俄罗斯获得其维持侵略性军事能力所需的技术和其他物品。”很多人认为开源软件是“完全安全的”，但其实开源软件的许可证协议仍然存在，可能会有诸多限制，尤其是禁止受 5 / 9 东吴证券研究所 请务必阅读正文之后的免责声明部分 [Table_Yemei] 行业点评报告 到制裁的国家使用原本供公众随意访问的代码。 图3：Github限制俄罗斯获取相关技术 数据来源：Github官网，东吴证券研究所 开源安全漏洞风险显著。根据新思科技《2021开源安全与风险分析报告》显示, 84%的代码库至少含有一个漏洞,近三年漏洞比例逐年增高, 60%的已审核代码库包含高风险漏洞。根据开源网安Source Check工具对热门开源项目的扫描结果看, 53.8%的项目存在超危风险。早在2006年,美国国土安全部就开展“开源软件代码测试计划”,对大量开源软件进行安全隐患的筛选和加固,截至2017年2月,累计检测各种开源软件7000多个,发现大量安全缺陷。系统信息泄露、密码管理、资源注入、跨站请求伪造、跨站脚本、HTTP消息头注入、SQL注入、越界访问、命令注入、内存泄漏是开源软件主要的安全风险。根据RiskSense公司报告，2019年，已公开开源CVE漏洞（Common Vulnerabilities & Exposures，通用漏洞披露）的总数（968个）是之前任何一年的两倍还多。相比2018年和2017年，2019年的漏洞数量分别增长了130%和127%。 图4：热门开源项目开源漏洞数量及等级 数据来源：Black Duck，东吴证券研究所 中国IT基础软硬件国产化推进刻不容缓。一方面，需要坚持自主研发，推出能用、好用的国产基础软硬件。截至2022年2月，在操作系统、中间件和数据库等重要基础软硬件领域，国内已经涌现出麒麟软件、东方通、人大金仓等国产厂商，但性能、生态67%78%60%75%84%53%77%40%49%60%0%10%20%30%40%50%60%70%80%90%20162017201820192020至少含有一个漏洞含有高危漏洞 6 / 9 东吴证券研究所 请务必阅读正文之后的免责声明部分 [Table_Yemei] 行业点评报告 距离海外先进产品仍有较大差距，相关技术研发仍需加大投入。另一方面，要积极培育国产开源社区。开放原子开源基金会于 2020 年 6 月在北京成立，由阿里巴巴、百度、华为、浪潮、360、腾讯、招商银行等十家龙头科技企业联合发起。作为开源项目的孵化器、连接器和倍增器，开放原子开源基金会以对开源代码展开开放治理的形式促成事实标准，连接“政、产、学、研、创、投”，共建开源生态。 3. 俄罗斯早有准备，坚定布局国产化 俄罗斯较早就开始布局IT国产化。受到这些制裁，环球时报报道称，俄罗斯已做好启用本国互联网系统的准备。俄罗斯较早就布局IT国产化，2013年11月1日，普京正式批准《2014～2020年俄联邦信息技术产业发展战略及2025年前远景战略》。文件提到，俄罗斯将大数据处理、计算机培