2026-01-28 17:50:12 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文探讨网络安全领域学术论文代码开源的利弊。尽管面临维护负担与安全披露风险，主动开源能显著提升引用率和论文说服力，促进学术交流并加速产业转化。学者建议通过多平台分发与负责任披露机制规避风险，从而构建透明高效的创新生态。 综合评分： 80 文章分类： 安全建设,安全培训,网络安全

cover_image

论文从被拒到被接收、引用量猛涨！西安交通大学、中国科学技术大学、南京理工大学青年学者谈论文代码公开的利与弊

原创

信息网络安全杂志信息网络安全杂志

信息网络安全杂志

2026年1月27日 17:04 上海

《全球开源生态洞察报告（2024年）》显示，2023年全球开源软件项目已超4亿个，GitHub 托管仓库达4.2亿个。开源是全球公认的能够发挥群体智慧，推动创新的重要生态，不仅工业界注重开源项目，学术界亦是如此。

中国科学院院士、中国软件行业协会理事长王怀民曾表示：“开源已经成为全球科技创新的重要模式和竞争前沿。”从网安四大顶会的徽章奖励到国产开源社区的不断增多，在开源大势所趋下，网安学者投论文到底要不要主动开源代码？这其中的收益将与风险并存。听一听西安交通大学、中国科学技术大学、南京理工大学青年教师、博士研究生的看法。

国际学术会议对开源要求从鼓励到强制

在网络空间安全领域国际四大顶会历年征稿中，主办方多通过授予“徽章”（Reward Badge）的机制鼓励论文投稿者代码开源。以USENIX Security 2025为例，对于代码开源（Available）、论文功能性（Functional）可复现、成果性能可复现（Reproducible）的论文，最终会在出版的论文首页、收录的目录中添加色彩鲜艳的徽章，告知读者此成果代码是经过审查并且复现的。

USENIX Security 2025徽章说明

来源：https://secartifacts.github.io/usenixsec2025/badges

西安交通大学博士生导师言浬指出，除了开源代码，想要获得“徽章”的作者还需要写清楚代码的运行环境、所需要的软件包版本、代码的运行方法等信息，最终由评审委员会通过投票来选出获奖者。

中国科学技术大学在读博士研究生黄轩博目前是USENIX Security 2025和NDSS 2026代码评估委员会（ Artifact Evaluation Committee，AEC）成员。他表示，近年来信息安全顶会之一的USENIX Security修改了其投稿政策，添加了“Open Science Section”（开放科学声明章节），并要求所有的接收论文强制提交“Artifact Evaluation”（代码审查）。其他会议例如NDSS等，也在积极组建代码审查委员会。

USENIX Security 2025开放科学声明章节

来源：USENIX Security 2025官方网站

南京理工大学教师周明指出，目前中文出版环境对此鼓励还不多，但也有作者在文中直接公布开源信息。

主动开源，进入良性循环

西安交通大学言浬

我们目前新发表的论文都会附上完整的源代码，包括实验数据、实验数据的预处理等。主动开源的驱动力有三点，一是为了方便开展后续研究的学者复现结果，二是为自己的研究成果提供更多的参考和引用机会，三是计算机方面的研究更新迭代太快，附上源代码才能够快速融入到最新、最前沿的研究氛围中去。其中，第二个驱动力源于一次发文经验，24年初我们发表一篇关于自适应同态加密的文章，因为算法内部过于复杂，用文字描述太过于笼统，为了方便其他研究者阅读，尽管期刊不要求开源，我们还是主动开源了，后续跟踪来看这篇文章的引用涨的比较快。

南京理工大学周明

只要是非敏感、非保密的成果，我们都会选择主动开源。一是方便复现、促进交流，有了交流才有后续的合作关系；二是提高团队影响力，开源项目能带来其他机构的信任，这样也是有助于项目申请与合作的；三是我们希望接受同行的监督，通过大家不断地交互来完善代码，提高代码质量让一切变得更透明。从各方面来看，都会令我们的研究进入一个良性循环。

中国科学技术大学黄轩博

我目前新发表的稿件都会主动开源代码。我认为这样能够提高论文被接收的可能。一方面是我曾经有一篇文章多次被拒，在最后一轮因为接受了一位审稿人的建议公开了代码，最后被接收了。另一方面我也和很多老师、审稿人交流过，大家普遍表示主动公开代码的论文感觉看起来“更靠谱”，所以主动公开能够有效提高成果的说服力。

障碍、风险与收益并存

西安交通大学言浬

我们团队目前在开源方面遇到的最大障碍在于开源平台的选择。目前用户群体最大的平台是 GitHub，首选一定是这个，但是登录环境不是很友好。国产开源平台现在也很多，但是用户群体体量还没有发展起来，功能也有所欠缺。所以我们的解决方案是，有受众的、比较流行的都去上传一份，然后坚持做维护。

南京理工大学周明

我们团队目前遇到的障碍在于开源之后代码维护方面。项目开源以后一定会有很多问题待完善，但往往开源代码的团队是另外有主业的。例如，老师要教学科研等，所以后续维护起来肯定会出现拖延的情况。但如果你这个项目刚好被应用了，但是你的问题还没解决，压力就会大一些。

USENIX Security 2025关于漏洞披露伦理的章节

来源：USENIX Security 2025官方网站

西安交通大学言浬

从安全角度来讲，代码开源肯定是一把双刃剑。开源代码的漏洞被发现了，就意味着更多人知道了这个漏洞，风险确实存在，但是另一方面，如果代码不开源，这个代码漏洞就会不存在吗?开源了也意味着漏洞不再是被少数人掌握了，能促使系统去更快地迭代自己的组件。所以我认为开源积极的作用还是更大的。

南京理工大学周明

从开源团队自身来讲，也是存在风险的。如果团队开源的项目已经被集成到商业产品中去，甚至已经服务到关键信息基础设施当中。那么当漏洞爆出来以后就需要快速跟进，这就会给团队带来压力。另外一点风险是专属于安全领域的，如果论文是以漏洞挖掘相关的，要不要开源？开源了肯定就会被其他人掌握，所以最好的办法还是设置一个前置环节，在与厂商确认漏洞已修复好后再去开源。同时，还需要作者所在单位、论文出版机构通过设置委员会审查等机制来避免这类风险的产生。

学术界与工业界的强纽带

西安交通大学言浬

以我们组做的大模型隐私保护为例，当我们把同态加密等各种隐私保护技术融入到大模型这个新兴领域中来的时候，学术上源代码的开源，就能够倒逼厂家去采用这些方法，加速大模型的迭代更新，这就是一个良性循环。同时，大模型时代，开源的厂家显然更占上风，就是因为开源使得他们更快地把学术界的这些安全隐私保护的最新的这些技术集成进去了，他们后续持续的发展会更好。

南京理工大学周明

学术成果代码开源会加速新技术在工业界的应用转化，加速成果在真实场景当中落地。特别是安全领域，产业界产品迭代的时候直接用开源项目成果，就会反过来给学术圈很大的压力。所以开源代码会为学术界和产业界搭建起桥梁，最终产业界的产品做的很厉害，学术界也不是在闭门造车，自说自话。

中国科学技术大学黄轩博

从学生的角度来看，我觉得开源代码能够作为很好的学习工具。大家常提到，现在的网安人才培养和实际需求之间存在一些差异。开源代码，恰好有机会成为工业和学术界的“桥梁”。对于企业来说，学术论文可能并不那么值得关注；对于高校来说，软件代码可能不是研究的重心；然而，“开源代码”却是二者都乐于接触、有所交集的地方，我认为可能能够有效的促进工业学术界交流，使得网安的人才培养和实际需求更加的“对齐”。

中国工程院院士倪光南曾表示：“我国已是开源大国，目前实际参与开源的人数和贡献量在世界上名列前茅。全球最大代码托管平台GitHub在2019年发布的报告显示，我国已是该平台贡献排名第二的国家。但在生态方面尚有不足，并且缺乏开源认知和相关基金的支持，使得开源在国内就像‘无源之水’和‘无根之木’。”

代码开源已基本成为大计算机领域新的创新范式，网络安全领域也在积极拥抱开源生态。随着国产开源社区的不断发展，开源工作与网络空间安全人才培养的关系将更加深入，如何利用开源工作培养人才、提高网安人才代码能力、如何借助开源工作更加立体地评价人才，将成为我们下一步必须思考的问题。