2023年2月16日,由中国信息通信研究院、中国电信、中国移动、中国联通、中国铁塔联合主办的 “首届ICT软件供应链安全治理论坛暨信息通信软件供应链安全社区第二届成员大会”正式召开。
会上,信息通信软件供应链安全社区(以下简称“社区”)副秘书长、中国信息通信研究院安全研究所副所长孟楠代表社区发布软件供应链安全治理体系顶层框架、软件供应链安全标准体系框架、《软件供应链安全能力成熟度参考模型》、软件供应链透明度管理等多项重要研究实践成果。
社区副秘书长 中国信息通信研究院安全研究所副所长
孟楠作研究成果发布
软件供应链安全治理体系部分,孟楠副秘书长介绍了以防范软件供应链安全风险为目标,采用多元主体参与、协同共治的机制,通过政策法规、标准规范、评价体系、能力建设等手段,开展软件供应链安全治理实践的软件供应链安全治理体系建设思路,形成《软件供应链安全治理体系框架》。
《软件供应链安全治理体系框架》
软件供应链安全标准体系框架部分,孟楠副秘书长介绍了社区成立专项工作组,基于国内外标准查新与软件供应链痛点风险点调研数据,以软件供应链安全治理体系框架和愿景为依托,研究探索软件供应链标准体系战略目标、原则策略,明确供应链安全标准体系范围和边界,提出软件供应链安全标准体系框架并展开说明。
软件供应链安全能力成熟度评估部分,孟楠副秘书长重点介绍了《软件供应链安全能力成熟度参考模型》的总体架构、能力域和4级评价指标体系、第一批试点评估及应用实践等三大方面工作进展。
(软件供应链安全能力成熟度参考模型框架)
(软件供应链安全能力成熟度参考模型-能力与及指标体系)
(首批评估试点及应用实践情况)
在本届论坛颁奖环节,社区根据首批次试点工作进展,对经严格评估、评审,符合《软件供应链安全能力成熟度评估参考模型》第三级评估准则要求的企业,进行了证书授予。
第一批通过软件供应链安全能力成熟度评估的企业如下:
为进一步助力参评对象摸清软件供应链安全治理痛点、提升治理水平、优化验证模型,社区计划于2023年2月22日同步启动“软件供应链安全能力成熟度评估”第二批试点和行业标准《软件供应链安全能力成熟度参考模型》参编单位征集工作,具体时间点如下。
(《模型》参编征集:联系人李汪蔚,15001390039)
软件供应链透明度管理部分,从2022年上半年起,社区组织多家优秀会员单位,共同梳理总结国内外在软件物料清单技术、管理等方面的理论研究和实践形成系列研究解读报告,汇总、提炼形成《软件物料清单实践指南》,向社区成员提供了软件物料清单的实践方法。
(软件物料清单实践指南)
根据研究实践,提出《软件物料清单综合能力视图》,详细说明软件物料清单治理能力的组成、结构、治理流程建议,可有效指导企业开展透明度治理能力构建。
(构建软件物料清单能力视图)
本着共建共治的理念,进行基于软件物料清单的共治平台建设方案研制,以期汇聚各方力量形成治理合力,再共享给社区各参与方,形成正向的迭代循环。
(基于软件物料清单技术的共治平台建设)
为更好提升企业自治、行业共治平台能力建设可行性,社区启动了试点实践,就重点场景方向进行技术攻关,解决痛点、难点。截止2023年1月,30余家单位申报的17个项目已完成第一阶段评审,正在部署实施阶段。2023年,社区将基于试点实践情况,评选优秀案例、总结最佳实践,为促进软件供应链安全风险管理平台建设和行业级图谱绘制奠定理论和实践基础。
(软件供应链安全治理平台试点工作进展)
在“软件定义一切”的当今世界,人民生活、国家发展,各行各业与软件息息相关。但当前软件供应链安全问题对关键信息基础设施保护、数字产业高质量发展带来巨大挑战。在工业和信息化部网络安全管理局指导下,由六家企事业单位(中国信息通信研究院、中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国铁塔股份有限公司、奇安信科技集团股份有限公司)发起筹建的信息通信软件供应链安全社区应运而生。社区致力于软件供给过程的安全生态建设,为产业链、供应链各相关方等提供研讨、研发、协作、共治的平台。
