2024年3月11日,经过信息通信软件供应链安全社区评估,中移(苏州)软件技术有限公司成为首个通过“软件供应链安全能力成熟度第三级”的云服务商,并获得软件供应链安全社区颁发的等级证书。
成熟度等级证书【中移(苏州)软件技术有限公司】
总结回顾
作为首个通过“软件供应链安全能力成熟度第三级”评估的云服务商,标志着移动云在软件供应链成熟度上达到较高的水平。中移苏研高度重视软件供应链安全工作,建立了一套软件供应链安全体系。在安全管理方面成立网络安全领导小组统筹指导软件供应链安全工作,在软件供应链各领域设立职能管理部门,实现从采购、研发、测试、运维四大领域闭环管理,同时制定一系列安全管理制度和操作规程,在采购设计、开发测试和运营运维等各个环节保障软件供应链安全。在研发技术方面,通过SBOM、组件库和漏洞知识库等安全开发仓库,提供完备高效的开发工具。在漏洞监测方面,提供代码级的安全扫描能力,能够及时发现安全漏洞。在安全运营方面,成立独立的安全响应中心二级副机构,建立了较为完善的软件安全防护能力,为建设高安全移动云提供有力保障。
《软件供应链安全能力成熟度参考模型》将组织软件供应链安全能力划分为五个等级,自低向高分别为第一级(初始级)、第二级(规范级)、第三级(稳健级)、第四级(优化级)、第五级(引领级)。
目前,社区已形成完善的软件供应链安全能力成熟度(以下简称成熟度)评估评价体系,研制出一套成熟度评估评价技术文件,形成一套软件供应链安全评估方法。成熟度评估工作已进入正式运行阶段,将采用动态征集的方式,诚邀各企业参与。成熟度评估将切实帮助企业摸清软件供应链安全治理痛点、堵点,助力企业厘清软件供应链安全工作重点任务,发现自身与行业最佳实践之间的差距。同时,社区各工作组将持续贡献能力,继续总结治理实践经验,与各会员单位推进软件供应链安全生态建设。
成熟度评估企业名单
会员单位
部分会员单位展示
END
在“软件定义一切”的当今世界,人民生活、国家发展,各行各业与软件息息相关。但当前软件供应链安全问题对关键信息基础设施保护、数字产业高质量发展带来巨大挑战。在工业和信息化部网络安全管理局指导下,由六家企事业单位(中国信息通信研究院、中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国铁塔股份有限公司、奇安信科技集团股份有限公司)发起筹建的信息通信软件供应链安全社区应运而生。社区致力于软件供给过程的安全生态建设,为产业链、供应链各相关方等提供研讨、研发、协作、共治的平台。
