众所周知,在软件供应链体系中,几乎所有的软件系统都集成了开源软件。而开源软件的全球化和开放共享的特性,却使得任何一个安全漏洞都会雪崩式传播,给软件供应链生态造成严重的影响,这些都时刻考验着数字社会的安全基座。
在2月16日举办的首届ICT软件供应链安全治理论坛暨信息通信软件供应链安全社区第二届成员大会中,我们邀请到多位业内安全专家、企业创始人和技术负责人,以“新形势下,软件供应链安全风险及应对”为主题,在治理趋势、运营理念和技术探索方向发表洞见,由数世咨询创始人李少鹏担任本环节的主持人。
叶臻
社区首席专家、中国铁塔信息技术研究院院长叶臻首先从断供风险、安全风险、知识产权风险等角度详细阐述了软件供应链安全的现状,并从安全管理、安全技术、安全运营三个方面介绍了中国铁塔应对软件供应链安全风险采取的具体措施,对如何建设及运营好一个健康良好的软件供应链安全生态和社区做出展望。
曹嘉
绿盟科技副总裁曹嘉指出,软件版本国产化后安全性的明显提升也是软件供应链安全从国家顶层设计落实到具体应用上的良好映射。曹嘉表示,绿盟作为一个安全厂商,本身就是供应链当中的一环,随后举出自身企业在供应链安全能力体系与制度建设上,应用相关技术、结合实战化应用从细节上完善设计等方面所做的努力。
章亮
鹏信科技CTO章亮认为,随着云原生等一些前沿技术的落地,开发者大幅使用开源软件的过程中会引入很多安全风险;章亮指出,开发安全和应用安全是软件供应链安全管控的核心环节。作为专注于网络安全运营能力的提供商,鹏信科技认为应该从采购阶段、设计阶段、开发和测试环节以及部署上线环节等软件开发的全生命周期去构建安全体系。
潘克峰
北大软件高级工程师潘克峰表示,软件供应链安全涉及到的问题大多出现在开发环节,供应链让开发路径变得更加经济实效的同时,也产生了跨系统开发安全难以保障等棘手问题。在随后的讨论中,潘克峰高级工程师提出并深入阐述了两个亟待解决的技术难点:
1,安全共识问题;
2,软件路径的全覆盖问题;
以及降低误报率这一国际前沿研究课题。
付杰
比领科技创始人兼CEO付杰指出,软件供应链安全目前存在两大挑战。一是Devops,产品交付效率的直线提升让传统供应链安全从管理到技术都很难适应;二是云原生,软件包含的代码、容器、基础设施等使得软件安全的层次也越发丰富。付杰认为,用户在选择开发与应用安全的工具时,首先应该摒弃传统的纯技术视角,其次要细究技术应用的环节,合理嵌入视角,最后要构建一体化的运营能力,解决自动控制问题。
沈锡镛
默安科技董事 副总裁沈锡镛表示,运营者在进行软件供应链安全治理时,借助自研能力的提升来消除独有风险是可控的,但当前仍存在两点难题,一是需方将己身供应链的安全要求延展到供方的过程困难;二是摸排软件供应链风险的手段尚不完善。在如何结合开发安全和应用安全做好整体安全运营的问题上,沈锡镛认为首先可以分别通过强化管理技术、引入云产品重构整体应用架构的方式来解决央企数字化转型带来的应用爆发式增长和应用商业质变这两个问题;其次是回到开发区,向业务部门和开发部门明确应用应当满足的所有要求。
在此次圆桌论坛中,各位领导专家共同探讨了当前软件供应链安全面临的风险挑战,也多提出了许多深层次、有价值的应对策略。我们也相信,这次论坛的成果将对推动软件供应链安全治理工作起到积极作用,同时,我们也呼吁更多的相关企业、研究机构加入到这样的探索共治中来,共同为筑牢软件供应链安全防线贡献力量。
END
在“软件定义一切”的当今世界,人民生活、国家发展,各行各业与软件息息相关。但当前软件供应链安全问题对关键信息基础设施保护、数字产业高质量发展带来巨大挑战。在工业和信息化部网络安全管理局指导下,由六家企事业单位(中国信息通信研究院、中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国铁塔股份有限公司、奇安信科技集团股份有限公司)发起筹建的信息通信软件供应链安全社区应运而生。社区致力于软件供给过程的安全生态建设,为产业链、供应链各相关方等提供研讨、研发、协作、共治的平台。
