开源软件安全治理
软件供应链安全
主题论坛
主办单位
会议背景
本次主题论坛,从开源软件治理面临的风险和挑战,开源软件治理相关的政策和规范,开源软件安全治理手段和策略,开源软件安全治理实践等角度进行深入探讨与经验分享。
参加本次论坛活动的领导有信息通信软件供应链安全社区首席专家黄永刚、信息通信软件供应链安全社区能力建设组专家组长董峰、信息通信软件供应链安全社区生态共治组专家组长赵相楠,还有来自全体会员单位的领导专家们。
领导致辞
信息通信软件供应链安全社区首席专家
奇安信集团合伙人
黄永刚
首席专家黄永刚表示,当前开源软件的安全治理已经成为软件安全和开发安全最急需解决的问题之一, 虽然我国已出台了一系列针对软件供应链安全的法规和标准,但包括风险的发现、分析、处置、防护等能力在内的软件供应链安全管理水平仍有待继续提升,由此建议从三个方面开展相关工作:
主题演讲
奇安信集团高级产品经理
童小刚
开源软件目前已经广泛使用在各种业务系统中,但是开源软件的使用也会面临一些漏洞风险、安全运维风险、开源许可证风险、自主可控风险,奇安信代码安全团队对这些风险进行了分析,然后对基于海量开源软件的多级特征提取与识别技术、同源检测技术进行了介绍,最后分享了开源软件的治理实践,包括开源软件的检测识别、风险分析、开源软件版本修复、开源软件漏洞预警等,为开源软件安全治理提供一定的启发和借鉴。
卢蓉
开源软件是软件系统供应链的重要组成, 近年来开源软件漏洞披露多,尤其一些基础性的开源软件漏洞影响范围广,直接影响着企业数字空间的安全。浙江移动逐步完善开源软件治理体系,针对开源软件全生命周期进行关键点管控,在开发构建态建立开源软件的近源检测能力,同敏捷开发平台集成进行开发构建态的自动化扫描;在生产运行态逐步提升开源软件资产识别的覆盖度加强安全风险治理;在治理的同时优化安全加固评估服务,加强安全协同防护。目前开源软件治理已取得了初步的成效,收敛了IT域内开源软件带来的安全风险,降低了安全加固的成本。
浩鲸云计算科技股份有限公司安全工程师
段知
比瓴科技产品总监
任航
比瓴科技从软件供应链所面临的内外部代码风险、交付过程风险及运行时的风险进行分析,指出了当前企业所面临的软件供应链风险。最后又从实际所面临的风险场景来分析如何通过瓴镜产品来降低和解决这些风险,从而落实软件供应链安全治理工作。
中国信通院SBOM研究员
杨文钰
软件物料清单是软件供应链安全治理的基础工具和重要抓手,中国信通院SBOM研究员杨文钰从SBOM的发展沿革、价值用例、组成要素、格式工具、生命周期、知产保密、行业实践等维度展开论述,梳理现有研究成果,分析SBOM未来的发展趋势,以期推动相关行业、企业展开实践应用。
系统策划|奇安信集团
活动主持|中国铁塔
活动支持|中国信通院