谢攀
中国联通集团信息安全部副总经理
政策法规组工作寄语
随着国内信息产业的高速发展,当前信息时代之下的安全问题也变得日益严峻。而开源软件作为现代软件开发的核心基础,极大的推进了软件产业的繁荣。同时,开源软件的广泛使用也带来了安全隐患,企业需要准确的记录和统计生产运营中使用的开源软件,从而保证供应链安全。
保持产业链供应链安全稳定是确保高质量发展构建新发展格局的战略要求,事关国家长远发展和长治久安。Sonatype的软件供应链状况报告指出:29%的热门开源项目至少包含一个已知漏洞,2020-2021年间针对开源软件供应链的网络攻击增加650%。2022年以来各类高危漏洞频发,Apache Dubbo、Weblogic Server、Apache Log4j、Spring框架,在每一个高危漏洞被披露后,维护人员需要通过官方发布的补丁才能修补系统,而在官方出现补丁之前只能通过临时方案修补。Log4j2事件中,短短10天就更新了6个版本,维护人员刚刚从混乱中找回节奏,又发现Faker.js和Colors.js也出现了问题。“查不到,改不尽”已成为影响企业供应链安全的重要问题。
通过软件物料清单(SBOM)使代码内部运作机制变得透明化已成为了国际公认的供应链安全管理中的重要方法论。Gartner预测,到2025年,60%负责开发关键基础设施软件的组织将在其软件工程实践中强制实施和标准化SBOM(2022年为不到20%)。我们正在见证SBOM被认可和发挥作用的未来,越来越多的组织机构正在采用SBOM方法优化工具,以满足行业内的更多需求。SBOM并非所有安全问题的解决方案,而将成为团队做出智慧安全决策的一部分。
鉴于此,建立供应链安全预警体系是重要抓手和当务之急,信息通信软件供应链安全社区承载着建体系、立标准、促机制的重要使命。
中国联通将“大安全”作为公司的主责主业,在“社区”中承担政策法规组组长单位,围绕落实国家法律法规和行业主管机构要求,梳理和解读国际国内、重要行业出台的供应链相关文件,旨在为国家机关、企事业单位提供供应链安全管理政策法规方面的决策支撑和合规咨询。在政策法规组第一期的工作中,政策法规组将以软件物料清单 (SBOM)作为重点工作,协同多家会员单位和行业专家参与13篇SBOM相关政策法规的翻译解读工作,总结国内外政策法规参考依据,助力软件供应链安全社区的安全研究研讨,加速推进提升国内供应链的安全管理水平。
社区首席专家:
本期SBOM系列13篇政策文件的翻译、解读涵盖了SBOM整体内容概述,SBOM的生成、获取、交换、共享、管理、使用等全生命周期过程,并总结了国外针对SBOM已开展的相关工作,回答了关于SBOM的常见问题,以期为社会各界提供参考。
以下是13篇文件的题目:
-
SBOM概述 -
关于SBOM的误解与事实 -
软件供应商手册:SBOM的生成和提供 -
SBOM生成操作指南 -
软件消费者手册:SBOM 获取、管理和使用 -
共享和交换SBOM -
构建软件组件透明度:建立通用SBOM -
SBOM工具分类方法 -
SBOM的“最小元素” -
SBOM相关工作 -
现有SBOM模板和标准调查 -
SBOM常见问答 -
关于SBOM的选择和决策
敬请期待!
在“软件定义一切”的当今世界,人民生活、国家发展,各行各业与软件息息相关。但当前软件供应链安全问题对关键信息基础设施保护、数字产业高质量发展带来巨大挑战。在工业和信息化部网络安全管理局指导下,由六家企事业单位(中国信息通信研究院、中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国铁塔股份有限公司、奇安信科技集团股份有限公司)发起筹建的信息通信软件供应链安全社区应运而生。社区致力于软件供给过程的安全生态建设,为产业链、供应链各相关方等提供研讨、研发、协作、共治的平台。
