北京市通信管理局網(wǎng)絡(luò)安全管理處處長徐星在致辭中表示,北京市通信管理局已建成了較為完備的通信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全管理體系��。下一步也將重點關(guān)注電信與互聯(lián)網(wǎng)行業(yè)的軟件供應(yīng)鏈安全的相關(guān)問題���,并提出各方堅持協(xié)同發(fā)力��、創(chuàng)新為先��、技管結(jié)合�、久久為功��,共同推動軟件供應(yīng)鏈安全的發(fā)展�����。
中國信息通信研究院安全研究所副總工楊劍鋒在致辭時表示,軟件供應(yīng)鏈安全的創(chuàng)新發(fā)展需要各方共同努力和合:企業(yè)要加強自身能力建設(shè)����,注重軟件供應(yīng)鏈安全投入;研究機構(gòu)要加強科研攻關(guān)���,提供創(chuàng)新技術(shù)和解決方案��;軟件從業(yè)者要增強安全意識����,提高安全素養(yǎng)�。同時要加強多方合作,共同應(yīng)對軟件供應(yīng)鏈的安全挑戰(zhàn)���,共建和諧���、安全、可信的軟件供應(yīng)鏈生態(tài)系統(tǒng)�����。
軟件供應(yīng)鏈安全社區(qū)能力建設(shè)組專家組長董峰在致辭中表示,如何更加全面高效保障軟件供應(yīng)鏈的安全��,對于我國各行各業(yè)數(shù)字化轉(zhuǎn)型推進(jìn)具有重大意義��。信息通信軟件供應(yīng)鏈安全社區(qū)積極發(fā)揮平臺優(yōu)勢�����,在產(chǎn)業(yè)資源整合�、創(chuàng)新技術(shù)分享����、信息聯(lián)動等多方向不斷發(fā)力,為國家關(guān)鍵基礎(chǔ)設(shè)施數(shù)字化轉(zhuǎn)型等多場景下的安全建設(shè)賦能��。
移動�、聯(lián)通、電信三家運營商代表分享了各自在軟件供應(yīng)鏈安全領(lǐng)域的實踐和創(chuàng)新經(jīng)驗���。
中國移動研究院安全所安全專家李政分享了中國移動構(gòu)建的“可信加風(fēng)控構(gòu)建軟件供應(yīng)鏈安全管控體系”��。以可信計算和風(fēng)險防控相結(jié)合為支點�,按照“一個中心��,三重防護(hù)”的體系構(gòu)建軟件供應(yīng)鏈安全保護(hù)屏障,實現(xiàn)覆蓋軟件供應(yīng)鏈全生命周期的安全可信管控��。
廣東電信安全專家叢立功分享了基于SBOM的云原生供應(yīng)鏈軟件安全實踐的創(chuàng)新經(jīng)驗:在組件聯(lián)動方面���,依托于正反向依賴追溯鏈完備度��,實現(xiàn)容器組件聯(lián)動和開源組件聯(lián)動進(jìn)行SBOM風(fēng)險分析�����,有效建立相關(guān)關(guān)聯(lián)關(guān)系�����;Devops集成方面�,測試對接代碼倉庫����、私服倉庫、鏡像倉庫���、工單系統(tǒng)等�����,盡可能實現(xiàn)完善全鏈條安全可控��;開源方面進(jìn)行了多級別代碼特征提取技術(shù)���、細(xì)顆粒度開源許可分析技術(shù)�����、成分化安全性風(fēng)險等技術(shù);容器組件方面�,采用非入侵、輕量化技術(shù)�,通過探針或API方式,降低對系統(tǒng)穩(wěn)定性能的影響���。
中國聯(lián)通軟件研究院架構(gòu)部項目總監(jiān)張世勛在分享中國聯(lián)通軟件供應(yīng)鏈安全治理實踐與展望時表示�����,軟件供應(yīng)鏈安全治理是一個系統(tǒng)化工程�����,不單是通過某一項技術(shù)或者一個簡單流程就可以快速有效完成�����。為解決在引入開源軟件后面臨的軟件供應(yīng)鏈各種風(fēng)險��,聯(lián)通軟件研究院引入短名單機制�����,明確可用的開源軟件及版本�,規(guī)范軟件的使用,統(tǒng)一運維與支撐�����,避免在項目建設(shè)過程中因軟件供應(yīng)鏈安全問題導(dǎo)致各種風(fēng)險�����,實現(xiàn)一體化建設(shè)���、集中管控和可持續(xù)發(fā)展��。
奇安信集團通信行業(yè)軟件供應(yīng)鏈安全專家曹暉在《凝心聚力 助力軟件供應(yīng)鏈安全“零事故”》主題演講中提出���,建議以SBOM為基礎(chǔ)����,構(gòu)建軟件供應(yīng)鏈安全的“五防”能力��,即:防漏洞�、防投毒、防侵權(quán)��、防斷供和防停服�。奇安信也通過代碼安全實驗室、盤古團隊��、A-TEAM等安全技術(shù)團隊和天問平臺����、代碼衛(wèi)士�����、開源衛(wèi)士等產(chǎn)品���,構(gòu)建了覆蓋供應(yīng)鏈安全的全線安全支撐能力����。
國舜股份副總裁湯志剛在《從準(zhǔn)入機制談軟件供應(yīng)鏈安全左移》主題演講時表示,軟件供應(yīng)鏈安全雖然體現(xiàn)在系統(tǒng)運營階段��,但其根基卻在系統(tǒng)開發(fā)階段��,而軟件供應(yīng)鏈安全準(zhǔn)入則應(yīng)是全生命周期的�,通過可信安全工具、數(shù)據(jù)安全工具�����、開源安全工具等的充分融合���,推動軟件供應(yīng)鏈安全從黑盒走向白盒�����,實現(xiàn)真正落地���。
中國信息通信研究院安全所研究員何佩從研究機構(gòu)視角出發(fā),分享了我國開源軟件漏洞管理的相關(guān)思考��。他提出��,當(dāng)前我國開源漏洞管理制度與國際仍存在明顯差距,企業(yè)內(nèi)各部門的漏洞修補協(xié)調(diào)機制也有待優(yōu)化�。對此,開源軟件漏洞治理需從近期治理和遠(yuǎn)期治理出發(fā)���,通過推動行業(yè)標(biāo)準(zhǔn)制定��、健全漏洞披露和響應(yīng)機制���、探索法規(guī)落實路徑研究、建立資金支持和投入機制���、健全公共服務(wù)等途徑多管齊下��,形成開源軟件漏洞管理標(biāo)準(zhǔn)化和協(xié)作協(xié)同治理格局����。
華為中國網(wǎng)絡(luò)安全與隱私保護(hù)標(biāo)準(zhǔn)政策總監(jiān)劉海軍分享了華為內(nèi)部的軟件供應(yīng)鏈安全實踐經(jīng)驗�����。他介紹�,華為是通過端到端網(wǎng)絡(luò)安全保障體系落實ICT供應(yīng)鏈安全管理����,軟件供應(yīng)鏈安全框架����,也是保障采購入口側(cè)�����、開發(fā)過程��、交付出口側(cè)端到端安全�。他還特別強調(diào)了人員管理的重要性,并將網(wǎng)絡(luò)安全融入HR業(yè)務(wù)框架�����,通過系統(tǒng)性培訓(xùn)教育課程和認(rèn)知資格體系��,不斷提升員工意識和能力���,避免員工個人不當(dāng)行為給公司帶來風(fēng)險���。
主辦方表示,希望通過此次分論壇的舉辦��,能夠找到應(yīng)對軟件供應(yīng)鏈安全挑戰(zhàn)的有效方法,推動軟件供應(yīng)鏈安全的發(fā)展��,為“網(wǎng)絡(luò)強國”����、“數(shù)字中國”建設(shè)迎來創(chuàng)新、開放�����、安全的環(huán)境�����。
