北京市通信管理局網(wǎng)絡(luò)安全管理處處長(zhǎng)徐星在致辭中表示��,北京市通信管理局已建成了較為完備的通信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全管理體系����。下一步也將重點(diǎn)關(guān)注電信與互聯(lián)網(wǎng)行業(yè)的軟件供應(yīng)鏈安全的相關(guān)問題,并提出各方堅(jiān)持協(xié)同發(fā)力�����、創(chuàng)新為先、技管結(jié)合、久久為功�����,共同推動(dòng)軟件供應(yīng)鏈安全的發(fā)展���。
中國(guó)信息通信研究院安全研究所副總工楊劍鋒在致辭時(shí)表示���,軟件供應(yīng)鏈安全的創(chuàng)新發(fā)展需要各方共同努力和合:企業(yè)要加強(qiáng)自身能力建設(shè)����,注重軟件供應(yīng)鏈安全投入�;研究機(jī)構(gòu)要加強(qiáng)科研攻關(guān),提供創(chuàng)新技術(shù)和解決方案���;軟件從業(yè)者要增強(qiáng)安全意識(shí)����,提高安全素養(yǎng)。同時(shí)要加強(qiáng)多方合作�����,共同應(yīng)對(duì)軟件供應(yīng)鏈的安全挑戰(zhàn)����,共建和諧、安全����、可信的軟件供應(yīng)鏈生態(tài)系統(tǒng)。
軟件供應(yīng)鏈安全社區(qū)能力建設(shè)組專家組長(zhǎng)董峰在致辭中表示�����,如何更加全面高效保障軟件供應(yīng)鏈的安全����,對(duì)于我國(guó)各行各業(yè)數(shù)字化轉(zhuǎn)型推進(jìn)具有重大意義。信息通信軟件供應(yīng)鏈安全社區(qū)積極發(fā)揮平臺(tái)優(yōu)勢(shì)����,在產(chǎn)業(yè)資源整合、創(chuàng)新技術(shù)分享、信息聯(lián)動(dòng)等多方向不斷發(fā)力����,為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施數(shù)字化轉(zhuǎn)型等多場(chǎng)景下的安全建設(shè)賦能。
移動(dòng)�、聯(lián)通、電信三家運(yùn)營(yíng)商代表分享了各自在軟件供應(yīng)鏈安全領(lǐng)域的實(shí)踐和創(chuàng)新經(jīng)驗(yàn)��。
中國(guó)移動(dòng)研究院安全所安全專家李政分享了中國(guó)移動(dòng)構(gòu)建的“可信加風(fēng)控構(gòu)建軟件供應(yīng)鏈安全管控體系”��。以可信計(jì)算和風(fēng)險(xiǎn)防控相結(jié)合為支點(diǎn)�����,按照“一個(gè)中心�,三重防護(hù)”的體系構(gòu)建軟件供應(yīng)鏈安全保護(hù)屏障,實(shí)現(xiàn)覆蓋軟件供應(yīng)鏈全生命周期的安全可信管控��。
廣東電信安全專家叢立功分享了基于SBOM的云原生供應(yīng)鏈軟件安全實(shí)踐的創(chuàng)新經(jīng)驗(yàn):在組件聯(lián)動(dòng)方面�,依托于正反向依賴追溯鏈完備度�����,實(shí)現(xiàn)容器組件聯(lián)動(dòng)和開源組件聯(lián)動(dòng)進(jìn)行SBOM風(fēng)險(xiǎn)分析�����,有效建立相關(guān)關(guān)聯(lián)關(guān)系;Devops集成方面����,測(cè)試對(duì)接代碼倉(cāng)庫(kù)、私服倉(cāng)庫(kù)�����、鏡像倉(cāng)庫(kù)��、工單系統(tǒng)等�,盡可能實(shí)現(xiàn)完善全鏈條安全可控;開源方面進(jìn)行了多級(jí)別代碼特征提取技術(shù)����、細(xì)顆粒度開源許可分析技術(shù)、成分化安全性風(fēng)險(xiǎn)等技術(shù)����;容器組件方面,采用非入侵���、輕量化技術(shù)���,通過探針或API方式�����,降低對(duì)系統(tǒng)穩(wěn)定性能的影響��。
中國(guó)聯(lián)通軟件研究院架構(gòu)部項(xiàng)目總監(jiān)張世勛在分享中國(guó)聯(lián)通軟件供應(yīng)鏈安全治理實(shí)踐與展望時(shí)表示�,軟件供應(yīng)鏈安全治理是一個(gè)系統(tǒng)化工程���,不單是通過某一項(xiàng)技術(shù)或者一個(gè)簡(jiǎn)單流程就可以快速有效完成�。為解決在引入開源軟件后面臨的軟件供應(yīng)鏈各種風(fēng)險(xiǎn)��,聯(lián)通軟件研究院引入短名單機(jī)制��,明確可用的開源軟件及版本��,規(guī)范軟件的使用��,統(tǒng)一運(yùn)維與支撐���,避免在項(xiàng)目建設(shè)過程中因軟件供應(yīng)鏈安全問題導(dǎo)致各種風(fēng)險(xiǎn),實(shí)現(xiàn)一體化建設(shè)�����、集中管控和可持續(xù)發(fā)展。
奇安信集團(tuán)通信行業(yè)軟件供應(yīng)鏈安全專家曹暉在《凝心聚力 助力軟件供應(yīng)鏈安全“零事故”》主題演講中提出�����,建議以SBOM為基礎(chǔ)����,構(gòu)建軟件供應(yīng)鏈安全的“五防”能力,即:防漏洞�����、防投毒�、防侵權(quán)、防斷供和防停服����。奇安信也通過代碼安全實(shí)驗(yàn)室、盤古團(tuán)隊(duì)����、A-TEAM等安全技術(shù)團(tuán)隊(duì)和天問平臺(tái)、代碼衛(wèi)士�、開源衛(wèi)士等產(chǎn)品�,構(gòu)建了覆蓋供應(yīng)鏈安全的全線安全支撐能力����。
國(guó)舜股份副總裁湯志剛在《從準(zhǔn)入機(jī)制談軟件供應(yīng)鏈安全左移》主題演講時(shí)表示,軟件供應(yīng)鏈安全雖然體現(xiàn)在系統(tǒng)運(yùn)營(yíng)階段���,但其根基卻在系統(tǒng)開發(fā)階段�,而軟件供應(yīng)鏈安全準(zhǔn)入則應(yīng)是全生命周期的�����,通過可信安全工具����、數(shù)據(jù)安全工具、開源安全工具等的充分融合����,推動(dòng)軟件供應(yīng)鏈安全從黑盒走向白盒,實(shí)現(xiàn)真正落地��。
中國(guó)信息通信研究院安全所研究員何佩從研究機(jī)構(gòu)視角出發(fā)�,分享了我國(guó)開源軟件漏洞管理的相關(guān)思考。他提出�,當(dāng)前我國(guó)開源漏洞管理制度與國(guó)際仍存在明顯差距,企業(yè)內(nèi)各部門的漏洞修補(bǔ)協(xié)調(diào)機(jī)制也有待優(yōu)化�。對(duì)此,開源軟件漏洞治理需從近期治理和遠(yuǎn)期治理出發(fā)���,通過推動(dòng)行業(yè)標(biāo)準(zhǔn)制定���、健全漏洞披露和響應(yīng)機(jī)制、探索法規(guī)落實(shí)路徑研究�、建立資金支持和投入機(jī)制、健全公共服務(wù)等途徑多管齊下�����,形成開源軟件漏洞管理標(biāo)準(zhǔn)化和協(xié)作協(xié)同治理格局�����。
華為中國(guó)網(wǎng)絡(luò)安全與隱私保護(hù)標(biāo)準(zhǔn)政策總監(jiān)劉海軍分享了華為內(nèi)部的軟件供應(yīng)鏈安全實(shí)踐經(jīng)驗(yàn)�����。他介紹���,華為是通過端到端網(wǎng)絡(luò)安全保障體系落實(shí)ICT供應(yīng)鏈安全管理���,軟件供應(yīng)鏈安全框架����,也是保障采購(gòu)入口側(cè)��、開發(fā)過程����、交付出口側(cè)端到端安全。他還特別強(qiáng)調(diào)了人員管理的重要性���,并將網(wǎng)絡(luò)安全融入HR業(yè)務(wù)框架�����,通過系統(tǒng)性培訓(xùn)教育課程和認(rèn)知資格體系�,不斷提升員工意識(shí)和能力����,避免員工個(gè)人不當(dāng)行為給公司帶來風(fēng)險(xiǎn)。
主辦方表示����,希望通過此次分論壇的舉辦����,能夠找到應(yīng)對(duì)軟件供應(yīng)鏈安全挑戰(zhàn)的有效方法�����,推動(dòng)軟件供應(yīng)鏈安全的發(fā)展���,為“網(wǎng)絡(luò)強(qiáng)國(guó)”、“數(shù)字中國(guó)”建設(shè)迎來創(chuàng)新�����、開放�、安全的環(huán)境。
