使用QGIS就安全合规了吗？

前几天国安公告及 ArcGIS Pro 底图停服一事之后，有不少朋友留言说要换成QGIS，可是使用 QGIS 就真的安全合规了吗？小编以为并不完全能够，经过几天的资料收集，本文尝试做一个探讨，也欢迎大家一起讨论。

关于QGIS本身

QGIS（Quantum GIS）是目前世界上最知名的开源 GIS 软件之一，凭借免费、开源、功能强大的优势，越来越受到企事业单位、高校科研机构和个人开发者的青睐。QGIS 使用的是GPL 2.0 协议，用户可以自由下载、使用、修改和再发布软件，只要衍生软件继续遵循 GPL 协议即可。从软件知识产权角度来看，QGIS 在中国使用是 合法的。

既然 QGIS 开源，那我们就结合将其源代码下载下来，做个简单分析。找到其他源码地址：

https://github.com/qgis/QGIS

将其代码clone到本地，然后进行了一下简单的全局搜索，首先找到的就是QGIS启动的时候会自动连接网络下载一段新闻，就是我们常见的这个界面。

源代码的 src/app/qgswelcomepage.cpp 中的第101行。

不过这个请求小编看下来是是从新闻订阅源中获取一个新闻列表，也没有上传什么敏感信息，我们可以通过抓包查看，结果如下：

另外还有两个接口调用，一个是version.qgis.org，这个是用来检查QGIS版本更新的。

抓包结果如下：

还有一个接口调用是 plugin.qgis.org，这个是用来获取插件及插件更新。

上述这三个对外服务器的接口是打开软件的时候就会调用，且通过域名解析地址查看到的目的地为德国，也是境外的服务地址。简单来说，从QGIS软件源码及抓包分析，QGIS在启动的时候是会调用境外服务器，但仅用来获取软件更新，并未上传用户敏感数据（仅个人测试），再加上QGIS本身就开放源代码，如果有上传用户敏感信息等行为，应该早就被曝光，从这个角度来讲使用QGIS本身是相对安全的。

PS: 小编对QT语言不是特别熟悉，只能使用原始的代码搜索+抓包的方式，仅用来测试说明，如果需要专业使用，请找专业的代码审计。

QGIS合规性探究

说到合规，就不得不说到之前在文章《ArcGIS Pro 服务国内被封？国内的用户惨了...》中所介绍到那样，像ArcGIS Pro这样的软件，其国际版发布的底图服务中，针对中国地区的边界也是有问题的，所以后面中国地区替换成了天地图。

上图：国际版 ArcGFIS Pro 底图服务截图

而说到 QGIS，其自身并不提供底图服务的，可以通过一些插件来添加，最火热的插件之一就是小编之前介绍的QuickMapService底图插件，这个插件提供的底图非常之多，但多数都是不合规的。

上图：随便打开一个Bing的底图，中国边界标记都是错的。

经过测试，QuickMapService 插件的底图服务有近百个，合规的却没有几个。所以如果你需要在QGIS中引用合规的底图，请使用小编在之前的文章《「GIS教程」QGIS添加国内底图图源（天地图、高德）》中介绍的方法，使用国内的图源。

QGIS合法性探究

说到合法，还是要回到9.14日国家安全部的发文，其中提到“地理信息数据安全可能被忽视，但真的很重要”。这一点小编通过之前对QGIS的源码+抓包分析，并没有发现其上传用户处理数据的相关行为（仅个人测试结果，不是专业审计），但QGIS本身没有并不代表安全，QGIS的成功就在于其开源和生态，但也正是这庞大的生态，让其数据安全性更加不可控，举例说明目前QGIS官方已经发布的插件就达 2689 个，还不包括一些没有登记在官方仓库，但可自行下载使用的插件。

即使QGIS本身没有上传用户数据的行为，使用者也不能保证其安装的插件没有上传。比如小编在之前的文章《QGIS地图配准教程（附带AI配准）》和 《「GIS教程」QGIS中使用AI插件进行自动矢量化》中所介绍到的插件，它都是需要将用户的数据上传至插件的服务器并返回结果，如果刚好处理的数据涉密的话...所以小编一直在文章中强调，不要用来处理涉密数据，请牢记我们的口号：涉密不上网、上网不涉密！！

QGIS合法合规的几个建议

说了这么多，我想大家应该明白一个最浅显的事实，就是地理信息数据的安全性必然是一个系统工程，是成体系的标准和实施规范。把地理信息数据安全性完全指望某个软件完成是不可靠的，ArcGIS不行、QGIS也不行（国产GIS应该行？）。如果需要安全合规的使用QGIS，小编有以下几个建议。

1、关闭/屏蔽外网访问：在组织网络边界禁止 QGIS 直接访问外网（白名单或代理），强制走公司受控代理。

2、构建离线资源库：把常用底图、插件、字典集中镜像在内网并配置 QGIS 使用内网地址（镜像插件仓库、镜像 qgisdata）。

3、禁用自动更新/插件仓库访问：在部署包中禁用自动检查更新及插件商店，插件由运维审核后再分发。

4、配置认证与审计：启用 QGIS 的认证配置（master password、auth configs）并限制日志中敏感信息的输出。

5、代码/依赖审计：对第三方插件和自定义脚本做静态代码审计，禁止在插件中调用外部网络或动态执行下载代码。

6、构建托管版/二次封装：将 QGIS 做为内部软件打包（移除不必要 provider、禁用网络模块或设置默认“离线”配置），并把构建产物纳入软件资产管理与合规登记。

如果还有其他措施，也欢迎大家补充。

总结

从小编之前的文章留言也可以看出，目前QGIS在国内的用户占比也在逐渐增长，国外的 Google Trends 上 QGIS 关键字的搜索量也已经超过了 ArcGIS。其开源免费，安装方便，生态也好，更新速度也快。但在软件快速普及的背景之下，其相应的法律法规的风险也同样应该值得广大GIS从业者警惕。小编还是那个观点：GIS数据的安全性和合规性不仅在监管层，也在你我的手中。

最后的最后，每当有这种事情出来的时候，总会有不少人大喊将xxxx完全封禁，强行关闭xxx公司之类的言论，对此小编想表达的是，可能正如特斯拉对于中国新能源、Apple对于中国手机行业一样，一个产业需要这种鲶鱼，甚至相关从业都也需要这种鲶鱼的存在。既然国家没有强制出行政策，也说明有其用意，在此之前，大家去合规、合法的使用便是，毕竟只要参与过复杂系统建设的朋友都应该知道系统架构级的迁移是多大的成本与工作量。

防杠，我们当然需要考虑Plan B，就像Cesium的使用者可以考虑下maptalks一样。还有一些所谓的国产替换能不能争点气，注重下自己网站的安全性，像某国产头部企业官网被挂上一些乱七八糟的内容，都上了百度快照（能被百度这么懒的蜘蛛抓到，说明挂的时间可不短啊）。比如：《国内某顶级GIS厂商疑似出现安全问题？》还有这个《一知名GIS企业官网疑似被挂马》，当然还有这个《这个武汉GIS国企官网，扯开了GIS行业的遮羞布》