中国工程院沈昌祥院士、工业和信息化部网络安全管理局网络安全处四级调研员刘震、中国信通院副院长魏亮为大会致辞。沈院士从加强安全治理顶层设计、开展安全测评工作、加强运营者管理、创新建设支持系统、加强安全监管工作等方面就如何构筑软件供应链安全治理体系提出了宝贵建议。魏亮副院长代表社区首席专家小组,对社区发展做了顶层指引和前瞻思考,也代表中国信通院做出了积极表态和倡议,希望与各方携手共建良好的软件供应链安全生态。
社区秘书长、中国信通院安全研究所所长谢玮首先就社区2022年度工作成果进行总结,并就后续工作进行展望。谢玮秘书长表示,社区自2021年8月成立以来,通过半年筹备期厘清了建设思路、定位和发展规划,制定社区章程,明确了组织架构,使社区能够高效运行。2022年在疫情影响下,仍保持每个月都有工作启动、成果输出,不断向社会分享优秀实践和治理经验。
会员、专家共建方面,社区的会员规模不断扩大,从第一次成员大会时的51家增长至目前的79家,增幅55%,且已覆盖开发商、组件供应商、用户、第三方研究机构等供应链各相关方。目前社区有首席专家9位,资深专家10位、技术专家百余位,在社区的各项工作中贡献了卓越智慧,社区专家库非常充实。
一年以来,社区工作重点围绕两条主线任务展开,一是试点建立评估评价机制,来自20余家单位的40余位专家研制了《软件供应链安全成熟度参考模型》,成功在华为公司、中国移动浙江分公司、中国电信安徽分公司、中国联通软件研究院完成试点,对4级指标体系、155个评估项进行了科学性验证。二是探索图谱绘制工作路径,图谱的绘制将为后续的软件供应链风险治理工作奠定重要基础。社区政策法规组牵头,深度分析了全球政策法规和标准指南,厘清了以软件物料清单为抓手的治理思路。据此,社区形成了软件供应链安全治理平台的建设方案,并针对重点应用场景开展试点,完成技术、管理方面的实践经验储备。
在主线工作的基础上,社区标准规范组不断推进标准化建设,在中国通信标准化协会完成两项标准立项;能力建设组针对治理难点、痛点举办论坛研讨,打造观点汇聚平台;检测评估组全面研究治理工具链,提升治理能力水平;生态共治组立足9大共治点,组织制定、签署《软件供应链安全自律公约》。
新的一年,社区将开展三方面的重点工作。一是继续完善标准体系,启动、推进重点标准研制,不断丰富标准应用场景。二是建设治理平台,针对组织级治理平台研提最佳实践,加强开源风险治理能力。三是构建评估体系,包括建设公正、客观的“软件供应链安全能力中心”,以及继续完善能力成熟度评估相关工作。
最后,谢玮秘书长介绍了各组2023年的重点工作。政策法规组将继续对高层级文件进行研究解读,重点分析开源相关法律问题;标准规范组将加强标准对技术、管理实践的指导作用;能力建设组将不断提高技术支撑保障能力,并组织培训、竞赛等建设人才队伍;检测评估组将启动探索断供风险下的软件供应链安全建设,持续优化检测评估方法、机制;生态共治组将致力于软件供应链相关图谱绘制,对优秀试点实践案例进行推广;秘书处将成立新的实验室、工作组,持续扩大社区规模及影响力。
社区首席专家、中国移动集团信息安全管理与运行中心副总经理袁捷,社区首席专家、中国联通集团网络与信息安全部副总经理谢攀,社区专家组长、中国电信集团网络和信息安全管理部网络与数据安全处副处长徐浩,华为公司中国区网络安全与隐私保护官李加赞,奇安信集团总裁吴云坤在大会做主题演讲,分享优秀治理实践。社区副秘书长、中国信通院安全研究所副所长孟楠作研究成果发布报告。
会上,社区为首批通过“软件供应链安全能力成熟度评估”的企业进行授牌,对2022年度社区优秀成果、优秀成员单位、优秀专家进行颁奖,获奖名单如下:
社区优秀成果名单公示
社区优秀成员单位名单公示
社区2022年度优秀专家名单公示
最后,成员单位代表现场签署《软件供应链安全自律公约》,为促进社区健康、有序、长远发展,发挥积极的推动和示范作用。
[END]
在“软件定义一切”的当今世界,人民生活、国家发展,各行各业与软件息息相关。但当前软件供应链安全问题对关键信息基础设施保护、数字产业高质量发展带来巨大挑战。在工业和信息化部网络安全管理局指导下,由六家企事业单位(中国信息通信研究院、中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国铁塔股份有限公司、奇安信科技集团股份有限公司)发起筹建的信息通信软件供应链安全社区应运而生。社区致力于软件供给过程的安全生态建设,为产业链、供应链各相关方等提供研讨、研发、协作、共治的平台。
