董事会成员虽了解网络风险的危害性,但往往缺乏对关键风险优先级的清晰认知。Verizon 2025年数据泄露报告显示,勒索软件占44%的泄露事件,第三方参与占30%,漏洞利用同比增长34%。然而,许多网络安全汇报仍停留在技术层面,未能与业务损失、合规风险挂钩。董事会真正需要的是以业务语言呈现的风险分析——明确哪些风险最紧迫、延误的代价是什么,以及资源应优先投向何处。
子芽表示,应用开源是大势所趋,但是避免不了Web通用漏洞、业务逻辑漏洞、开源成分的缺陷及后门等漏洞问题,而用开源的方式做开源风险治理,可以让开源用多样性拥抱不确定性,形成开源新范式。