2022年6月17日,由中國資訊通訊研究院(以下簡稱“中國信通院”)主辦的2022首屆3SCON“軟體供應鏈安全論壇”正式召開。會上中國信通院釋出了多項重磅成果,發起成立了軟體供應鏈安全實驗室(3S-LAB),並邀請多位業內專家、企業代表圍繞軟體供應鏈安全的實踐、治理趨勢、技術探索等發表了主題演講。
中國信通院雲端計算與大資料研究所副所長慄蔚在致辭中表示,我國軟體供應鏈安全發展面臨制度體系待完善、存量問題難解決、安全治理效能有待提升等問題。建立體系、制度流程及評價指標推進軟體供應鏈安全工作,提升工作效能,將是日後工作的重點。中國信通院多年來在軟體供應鏈安全領域開展相關工作取得了一系列成果,並將始終認真貫徹國家網路安全相關方針政策,牢固樹立總體國家安全觀。
軟體供應鏈安全系列評估結果釋出
為了推進標準落地並規範行業發展,中國信通院積極開展軟體供應鏈安全領域的相關評估工作,並在會上釋出了2022年最新評估結果:
可信安全最新評估結果釋出
具體評估結果如下:
首批通過軟體供應鏈安全管理能力評估(3SM)的企業:
- 平安銀行股份有限公司
- 中國行動通訊集團浙江有限公司
通過可信研發運營安全能力成熟度評估(TSM)的企業:
- 用友網路科技股份有限公司
通過研發運營安全工具(SAST)評估的企業:
- 騰訊雲端計算(北京)有限責任公司
中國信通院“2022安全守衛者計劃—軟體供應鏈安全專題”優秀案例釋出
為進一步促進軟體供應鏈產業創新發展,提升企業軟體供應鏈安全治理水平,中國信通院啟動了“2022安全守衛者計劃--軟體供應鏈安全專題”優秀案例徵集評選活動,評選出了一批技術成熟、方案完善、具備廣泛應用性的優秀案例。
2022安全守衛者計劃——安全運營專題優秀案例評選結果
軟體供應鏈安全實驗室(3S-LAB)正式成立
軟體供應鏈安全實驗室(3S-Lab)由中國信通院發起建立,旨在聯合政、產、學、研、用多方力量,整合優質資源,研究關鍵技術,完善標準體系,開展測試與評估,搭建合作橋樑,推動軟體供應鏈安全產業健康有序發展。本次論壇上,軟體供應鏈安全實驗室(3S-LAB)正式宣佈成立並對實驗室首批成員單位代表進行了授牌。
軟體供應鏈安全實驗室(3S-LAB)首批成員單位
《軟體物料清單(SBOM)安全應用白皮書》釋出
為讓國內企業迅速瞭解軟體物料清單(SBOM)技術,推動建立SBOM體系,建信金科與中國信通院聯合編撰了國內首本《軟體物料清單(SBOM)安全應用白皮書》,並在論壇上由建信金科基礎技術中心總裁李曉敦和中國信通院雲大所所長何寶巨集聯合釋出。
《軟體物料清單(SBOM)安全應用白皮書》釋出
隨後,建信金科基礎技術中心資訊保安專家王暉對於白皮書內容進行深入解讀,她指出,白皮書梳理了軟體物料清單(SBOM)的國際進展和相關標準,並對SBOM的發展趨勢進行了展望。同時,通過軟體物料清單(SBOM)在建信金科DevOps、安全運營平臺上的應用實踐,為行業提供可落地的參考。
《軟體物料清單(SBOM)安全應用白皮書》解讀
軟體供應鏈安全洞察
中國信通院雲大所開源和軟體安全部副主任(主持工作)郭雪以“軟體供應鏈全景觀察”為題發表了演講,她表示,軟體供應鏈安全面臨五大挑戰,已成為全球安全共識,中國信通院持續開展標準體系建設和評估,保障軟體供應鏈全鏈路安全。未來中國信通院將繼續推進軟體供應鏈安全技術、框架等相關研究,完善軟體供應鏈安全標準體系和系列評估。同時加強生態建設,進一步推動供應鏈上下游企業完善自身安全管理體系,建立軟體供應鏈安全可信生態。
軟體供應鏈安全洞察解讀
與會嘉賓圍繞“軟體供應鏈安全”發表精彩演講
中國信通院雲大所開源和軟體安全部工程師李曉明在論壇上以《軟體供應鏈安全管理能力成熟度模型》為題,從軟體供應鏈管理機制、供應鏈上游、生產鏈和供應鏈下游四大維度對軟體供應鏈安全指標進行了解讀,以提高軟體供應鏈需方軟體供應鏈安全管理能力,規範軟體供應鏈需方軟體供應鏈管理流程,併為第三方測評提供新思路。
結合軟體供應鏈引入實踐,平安銀行資深安全專家陳迎賓發表了題為“平安銀行軟體供應鏈安全實踐”的演講,他指出,為了加強軟體供應鏈安全管理,從2018年開始平安銀行通過對第三方採購應用服務,開源元件等進行重點安全治理。通過制定流程規範,建立流程管控平臺,對供應鏈產品在引入安全評估,版本管控,線上持續運營,持續自動化掃描,人工定期安全檢視,下線監控等方面進行全流程安全管理,軟體供應鏈安全質量得到明顯提高。
中國信通院雲大所開源和軟體安全部工程師俊哲對於《軟體物料清單建設總體框架》進行深入解讀。他指出,《軟體物料清單建設總體框架》標準的制定,將有助於指導廠商更好的將軟體物料清單引入軟體供應鏈安全建設,從而為針對供應鏈的攻擊的快速定位和響應提供解決方向,降低造成重大網路安全事件的風險,同時也將減少使用者的採購和使用成本。
圍繞製品檢測在供應鏈安全DevSecOps落地應用中的重要性及相關分析技術的挑戰、落地方法,騰訊安全高階安全研究員張文凱詳細分析了“供應鏈安全下製品掃描的技術實踐”,他從供應鏈安全著手,論述了製品掃描對於供應鏈安全的必要性、製品掃描在研發流程中的重要地位及相關使用場景引發的技術需求、二進位制軟體成分分析在製品掃描中的重要意義及相關技術細節實現、開源元件知識庫構建的挑戰與意義。
從軟體供應鏈安全研究成果的角度出發,懸鏡安全高階解決方案架構師凌雲帶來“淺談軟體供應鏈安全治理趨勢與最佳實踐”主題分享,他表示,懸鏡安全結合多年的敏捷安全落地實踐經驗和軟體供應鏈安全研究成果,探索出基於原創專利級“敏捷流程平臺+關鍵技術工具鏈+元件化軟體供應鏈安全服務”的第三代DevSecOps智適應威脅管理體系,幫助企業構築一套適應自身業務彈性發展、面向敏捷業務交付並引領未來架構演進的內生積極防禦體系。
通過釋出多項軟體供應鏈安全成果,進行深具實踐價值的精彩分享,本次論壇圓滿結束。未來,中國信通院將繼續與產業各方展開更加緊密的合作,通過制定相關標準、舉辦活動論壇等,推動軟體供應鏈安全、有序、健康發展,推進千行百業數字化轉型,助力數字中國建設。