— Security starts from the supply chain —
安全从供应链开始
软件供应链安全主题论坛
回顾
计划
总结
策划单位
中国铁塔股份有限公司
主办单位
信息通信软件供应链安全社区
协办单位
北京比瓴科技有限公司
时间
4月26日/星期二
会议背景
随着容器、微服务等新技术日新月异,开源软件成为业界主流形态,软件行业快速发展。但同时,软件供应链也越来越趋于复杂化和多样化,软件供应链安全风险不断加剧,针对软件供应链薄弱环节的网络攻击随之增加,软件供应链成为影响软件安全的关键因素之一。
在这样的背景下,由中国铁塔股份有限公司策划,信息通信软件供应链安全社区主办,北京比瓴科技有限公司协办的“安全从供应链开始”软件供应链安全主题论坛活动于4月26日顺利召开。
本次主题论坛活动旨在梳理和分析软件供应链的安全现状,透过现状全面剖析软件供应链的安全风险及面临的安全挑战,并提出如何对软件供应链的安全风险进行防范与治理。最后结合软件供应链安全的发展趋势进行系统的分析及展望,阐述软件供应链安全的防护体系及软件供应链安全的应用实践。
参加本次论坛活动的领导有信息通信软件供应链安全社区能力建设组专家组长董峰、政策法规组专家组长林海、标准规范组专家组长邱勤、检测评估组专家组长朱良海、生态共治组专家组长赵相楠,天翼云科技有限公司网络信息安全部总经理李爱民,中国电信上海研究院安全技术研究所所长何国锋,中国联通高级工程师徐积森,中国联通软件研究院信息安全组组长周映,还有来自全体会员单位的领导专家们。
领导致辞
信息通信软件供应链安全社区
能力建设组组长
董峰
能力建设组专家组长董峰表示,在这个软件无处不在的数字化时代,软件已成为社会正常运转的基本元素之一。近年来,随着产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,针对软件供应链的安全攻击事件呈现出快速增长的态势,危害也逐渐加深。汇总近些年愈演愈烈的软件供应链安全事件,不难看出,供应链攻击无处不在,在软件生命周期的各个环节中、软件产品的各种元素上都可能发生。
软件供应链安全影响重大,为了应对这种情况,各国纷纷出台各项行政命令来推动供应链保护工作。软件的安全性问题不仅是全球性问题,也正在成为当今社会的根本性、基础性问题。如何更加全面高效地保障软件供应链的安全对于我国各行各业的数字化转型推进具有重大意义。信息通信软件供应链安全社区将积极发挥平台优势,在产业资源整合、创新技术分享、信息联动等多方向不断发力,为国家关键基础设施数字化转型等多场景下的安全建设赋能。
主题演讲
应用软件安全分析与治理实践
奇安信高级产品经理
童小刚
在数字化转型浪潮的冲击下,软件供应链发展愈发复杂和多元化。一系列软件供应链安全问题层出不穷,奇安信代码安全实验室依托自身在软件源代码静态分析、软件成分分析领域积累的丰富经验,分享了关于软件代码检测、开源软件安全治理等方面的经验与治理实践案例。
浅谈供应链安全落地解决方案
北京比瓴科技有限公司技术总监
刘舒骐
随着越来越多组织转向“开源优先”的战略,软件开发告别了过去单打独斗的工作模式。开源与云原生时代来临,软件供应链面临的安全挑战也日益显著。针对这种现状,比瓴科技技术总监刘舒骐在《浅谈供应链安全落地解决方案》中谈到,在开源与云原生时代,构建统一平台来保证软件供应链安全是十分重要的,无论是管控范围,职责分工,亦或是管控策略,考核问责,企业都应从多个视角综合考虑软件供应链的治理架构。
网络安全保障理念及供应链安全实践
中兴通讯股份有限公司资深安全专家
殷玲玲
在中兴通讯产品研发和服务交付中,网络安全作为最高优先级,中兴通讯将安全这一要点嵌入到所有业务领域中。来自中兴通讯的资深安全专家殷玲玲老师针对中兴通讯近三十年的安全实践经验,分享了中兴关于建立网络安全保障理念中关于供应链材料安全检测领域的两个实践案例。
ICT供应链安全管理趋势
北京国舜科技股份有限公司资深安全专家
史钰
在生产制造全球化合作日益发达的今天,如何成体系地实现供应链安全管理对企业是一个真正的挑战。国舜科技基于全生命周期的供应商管理体系,融入当前新型供应链风险的管控,逐步构造完善的供应链安全管理体系。资深安全专家史钰表示要有专业的厂商,有专业的能力,与企业联合,提供完整服务,更好地实现供应链安全管理。
总结与展望
会议最后主持人信息通信软件供应链安全社区专家邓松涛表示:软件供应链安全治理强调共治,将安全软件全生命周期中安全左移。同时,治理软件供应链安全要打“团体赛”,国家与行业监管机构、最终用户、软件厂商等各个层面合作,需要加强软件供应链安全风险的发现能力、分析能力、处置能力以及防护能力,整体提升通信行业软件供应链安全管理的水平。
为此,邓松涛老师倡导社区各成员单位勇于打破信息孤岛,针对政策、标准、技术、制度、解决方案等层面,全方位多维度展开交流共享,促进行业内供应链安全治理机制提升和优秀治理实践的推广。
在“软件定义一切”的当今世界,人民生活、国家发展,各行各业与软件息息相关。但当前软件供应链安全问题对关键信息基础设施保护、数字产业高质量发展带来巨大挑战。在工业和信息化部网络安全管理局指导下,由六家企事业单位(中国信息通信研究院、中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国铁塔股份有限公司、奇安信科技集团股份有限公司)发起筹建的信息通信软件供应链安全社区应运而生。社区致力于软件供给过程的安全生态建设,为产业链、供应链各相关方等提供研讨、研发、协作、共治的平台。
