信息通信软件供应链安全社区
2024年12月6日,2024软件供应链安全创新发展论坛在北京顺利召开。社区首席专家、中国电信集团有限公司网络和信息安全管理部副总经理张侃,发表了题为《创新驱动——筑牢软件供应链安全防线》的主题演讲,分享了电信集团软件供应链安全治理方面的前沿思路。
1
安全挑战严峻,责任使命重大
近年来,软件供应链安全事件频发,从CrowdStrike公司安全软件升级导致全球设备宕机,到Ollama项目远程执行漏洞造成巨大损失,再到半导体巨头Applied Materials 因供应商遭到勒索软件攻击而导致生产中断,无一不为我们敲响警钟。据相关报告指出,平均每个软件将引入 166 个开源软件和 161 个安全漏洞,进一步加强软件供应链安全管理已成为国家和企业的共同责任与使命,在未来需要持续关注并加大投入。
软件供应链安全是实现国家网络安全的重要前提。我国高度重视软件供应链安全,近年来采取了一系列政策措施加强安全保障,从十四五软件和信息技术服务业发展规划,到中国通信标准化协会发布的一系列安全标准,再到今年 11 月 1 日正式实施的国标《软件供应链安全管理要求》,都在不断加强整个行业对软件供应链的安全保障能力。
2
中国电信的管理思路与实践
中国电信高度重视软件供应链安全,面对集团每年数百个集采软件和数万个各级自研软件项目带来的风险治理重大挑战,已经形成了一套涵盖引入、开发、交付、部署、运营多个关键环节的完整治理思路。
安全引入:坚持“谁引入谁负责,谁采购谁负责,谁主管谁负责”的原则,规范商采和开源软件引入流程。商采软件引入时,在采购各环节增加对供应商及产品的安全要求与评估,将软件成分清单纳入采购考核体系;开源软件引入则重点考察缺陷、漏洞、知识产权风险及社区活跃度,持续监控漏洞与版本更新,构建可信开源软件中间仓。
安全开发:中国电信印发《软件研发安全管理办法》、《代码安全管理实施指引》等文件,明确需求设计、开发编码、构建集成、测试验证、发布部署、运营监测等各阶段的安全管理要求。
安全交付:软件交付上线前通过权威测评机构对软件供应商及其产品开展全面的安全审查,并根据软件供应链安全测评要求,开展针对使用场景的各类型技术测试。
安全部署:建立云检机制,实现软件上线检测与合格证明。部署过程中严格执行权限控制,利用自动化工具持续验证软件功能与性能,并通过攻击模拟优化软件安全配置与策略。
安全运营:全面梳理软件资产、供应商及风险漏洞,建立威胁情报库,持续监测评估,做好预警响应处置与安全加固,并持续加强与各相关方的合作。
安全工具链:中国电信构建了覆盖开发、交付、运营的软件全生命周期技术工具链,结合知识图谱,实现资产管理、安全检测、合规分析、风险修复、漏洞预警等应用服务。
3
探索成果显著,未来持续前行
中国电信自2023年起,着手打造软件供应链安全管理平台,启动软件物料清单管理试点推广工作,成立集团软件安全测评中心,目前部分省公司也落地建成相关平台并投入使用。
随着 AI 时代到来,中国电信积极探索利用 AI 赋能软件供应链安全治理,开发基于大模型的问答助手、漏洞助手、代码审计等功能,结合大模型与知识库实现漏洞分析、信息匹配和修复推荐;同时积极防范 AI 自身风险,建立 AI 组件引入管控机制,筛选可信的组件库。
目前,中国电信集团安全管理平台已覆盖 50 余家省公司和专业公司,管理 2600 多个重要软件系统。平台具备纳管功能,将软件供应链安全治理融入核心流程后,达标软件数量提升 35%,软件风险组件率降低 24%。在风险预警方面,平台已收集分析近 2万 条漏洞情报元数据,实时监控漏洞库,实现快速预警和响应。在 AI 赋能下,平台已向 300个 软件资产发出预警,基于 AI 的代码审计漏洞检出率对比传统方式提升2倍。
中国电信作为信息通信软件供应链安全社区筹建单位,积极参与社区工作,推动软件供应链安全生态建设,提升行业软件供应链各方的凝聚力。
展望未来,中国电信将持续落实上级总体部署,完善软件供应链安全风险治理工作,助力顶层设计、提升治理水平,协同各方筑牢安全防线!
— END —
在“软件定义一切”的当今世界,人民生活、国家发展,各行各业与软件息息相关。但当前软件供应链安全问题对关键信息基础设施保护、数字产业高质量发展带来巨大挑战。在工业和信息化部网络安全管理局指导下,由六家企事业单位(中国信息通信研究院、中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国铁塔股份有限公司、奇安信科技集团股份有限公司)发起筹建的信息通信软件供应链安全社区应运而生。社区致力于软件供给过程的安全生态建设,为产业链、供应链各相关方等提供研讨、研发、协作、共治的平台。
