5月7日,2023西湖論劍·數字安全大會信創軟件供應鏈安全論壇召開,浙江省經濟和信息化廳軟件與集成電路產業處相關領導,浙江省電子信息產品檢驗研究院相關負責人,中國信息通信研究員安全研究所網絡安全監測評估中心主任趙相楠,浙江省網絡空間安全協會軟件供應鏈安全專家委員會浙商銀行安全研究專家孫鋼,財通證券股份有限公司金融科技研發部副總經理溫智超,中科曙光云計算產品事業部副總經理宋國歡,Open歐拉社區委員會委員、開放原子開源基金會TOC副主席熊偉,賽迪蘇州研究院、蘇州賽迪公司信創中心總經理陳昊,中國軟件測評中心(賽迪)信創中心軟件供應鏈技術專家袁薇,北京樂研科技股份有限公司產品事業部副總經理張帥,杭州安恒車聯網安全技術有限公司副總經理楊廷鋒,杭州孝道科技有限公司聯合創始人兼CTO高級工程師徐鋒,安恒信息高級副總裁、信創領導小組組長劉志樂等出席本次論壇。
近年來,供應鏈攻擊日益猖獗,許多重大的數據泄露、勒索軟件事件都與供應鏈攻擊有關。在這個背景下,如何保證信創軟件供應鏈的安全性,成為了企業不得不面對的難題。為響應國家號召,探索和構建網絡安全信創新生代,2023西湖論劍·數字安全大會設立了信創軟件供應鏈安全論壇,旨在以安全護航信創供應鏈,推動信創產業的發展。
5月7日,2023西湖論劍·數字安全大會信創軟件供應鏈安全論壇召開,浙江省經濟和信息化廳軟件與集成電路產業處相關領導,浙江省電子信息產品檢驗研究院相關負責人,中國信息通信研究員安全研究所網絡安全監測評估中心主任趙相楠,浙江省網絡空間安全協會軟件供應鏈安全專家委員會浙商銀行安全研究專家孫鋼,財通證券股份有限公司金融科技研發部副總經理溫智超,中科曙光云計算產品事業部副總經理宋國歡,Open歐拉社區委員會委員、開放原子開源基金會TOC副主席熊偉,賽迪蘇州研究院、蘇州賽迪公司信創中心總經理陳昊,中國軟件測評中心(賽迪)信創中心軟件供應鏈技術專家袁薇,北京樂研科技股份有限公司產品事業部副總經理張帥,杭州安恒車聯網安全技術有限公司副總經理楊廷鋒,杭州孝道科技有限公司聯合創始人兼CTO高級工程師徐鋒,安恒信息高級副總裁、信創領導小組組長劉志樂等出席本次論壇。
近年來,供應鏈攻擊日益猖獗,許多重大的數據泄露、勒索軟件事件都與供應鏈攻擊有關。在這個背景下,如何保證信創軟件供應鏈的安全性,成為了企業不得不面對的難題。為響應國家號召,探索和構建網絡安全信創新生代,2023西湖論劍·數字安全大會設立了信創軟件供應鏈安全論壇,旨在以安全護航信創供應鏈,推動信創產業的發展。
中國信息通信研究員安全研究所網絡安全監測評估中心主任趙相楠發布主題演講
趙相楠介紹了共創視角下的軟件供應鏈安全挑戰和治理探索,他指出,要完善軟件供應鏈的安全治理,建議首先開展安全的頂層設計,建立起長效的工作機制,隨后在現有的模式下推進治理模式由企業自治或半自治,向共治進行轉變。企業還需要構建起軟件供應鏈的安全評價體系,尋求發展與安全的平衡點,并充分應用新的技術解決所面對的新挑戰。
預防軟件供應鏈風險需要營造安全可信的網絡空間生態環境。同時,行業用戶也需要提升自身軟件供應鏈安全治理能力,開展供應鏈安全治理。針對這一問題,來自不同行業的嘉賓分享了相關實踐。
浙江省網絡空間安全協會軟件供應鏈安全專家委員會浙商銀行安全研究專家孫鋼發表主題演講
孫鋼認為,金融業開放軟件安全管控框架可以分成管理、技術、運營三大部分:管理是指要明確組織制度、流程,用于規范運營跟技術支撐體系;技術支撐是指運用各種安全產品,引入SCI、IAST、RASP、容器安全、BAS、主機安全等技術,為后面的安全運營提供支撐;安全運營就是在管理體系的指導下,運用各類安全技術,去開展一些風險治理,最終服務于企業全生命周期安全防護體系。
財通證券股份有限公司金融科技研發部副總經理溫智超發表主題演講
溫智超介紹稱,金融系統的IT環境非常復雜,為了保護軟件供應鏈的安全,財通證券組建了軟件安全治理委員會,建立了開源軟件和三方廠商的黑白名單的制度,通過在開發環境、測試環境、生產環境進行代碼檢查和掃描,來確保相關的組件不在黑名單范圍之內,最后,安全治理委員會還會牽頭建立一套組織、制度和流程,從測試、編碼、設計、部署、上線,以及后期運維的各個階段都進行自動化的安全管理。
中科曙光云計算產品事業部副總經理宋國歡發表主題演講
中科曙光宋國歡表示,曙光云經過15年的技術沉淀,以核心自研、開源增強以及合作技術構建了面向數字化轉型的國產全棧云底座,作為中科曙光算力的重要輸出方式之一。中科曙光一直致力于在多種技術融合的背景下構建安全的軟件供應鏈體系和自主創新的技術,保障云底座和云服務的安全。
Open歐拉社區委員會委員、開放原子開源基金會TOC副主席熊偉發表主題演講
熊偉則分享了openEuler社區在安全技術方面的探索,他指出,openEuler社區已經建立了一套非常復雜、嚴謹的安全機制,并構建了非常完善的SBOM,所有的安全漏洞信息會和SBOM進行交叉、聯合,完善安全分析流程。而且,openEuler社區已經安排了安全相關的平臺性的項目,這些項目能夠助力用戶基于平臺簡化安全保障工作。
蘇州賽迪公司陳昊與安恒信息劉志樂共同發布了《賽迪蘇州&安恒信息信創聯合服務基地》
在本次論壇上,蘇州賽迪公司陳昊與安恒信息劉志樂共同發布了《賽迪蘇州&安恒信息信創聯合服務基地》,該基地對于推動信創產業的健康發展、促進信息技術的應用和推廣以及提高國家的信息安全能力都具有重要的意義。
中國軟件測評中心(賽迪)信創中心軟件供應鏈技術專家袁薇發表主題演講
袁薇分享了軟件供應鏈安全保障與評估報告,她指出,為了能更好的分析軟件供應鏈中目前存在的一些風險,洞悉當前軟件供應鏈的現狀,賽迪提出了一套評估的準則,在確保軟件代碼安全的基礎上,通過保障軟件供應鏈的安全,使用戶能夠安全、持續、穩定的使用軟件產品以及相應的知識性服務。
中國軟件測評中心(賽迪)信創中心軟件供應鏈技術專家袁薇發表主題演講
張帥分享了樂研在網絡安全行業的信創實踐,他指出,經過這十幾年的磨礪,信創產業進入了一個大規模的推廣階段,已經初步具備規范化的能力,樂研已經陸續推出了飛騰、兆芯、海光等國產化網絡安全硬件平臺,并開始布局面向工業安全的硬件平臺。
杭州安恒車聯網安全技術有限公司副總經理楊廷鋒發表主題演講
楊廷鋒探討了信創軟件安全管理,他指出,軟件的安全質量管理是一個非常重要的話題,其中最關鍵的事實現質量的持續改進,這涉及到兩套理論,一套理論就是我們常說的PDCA,即從質量的循環的角度去構建全面質量管理機制,第二套是零缺陷管理理論,即強調預防系統控制和過程控制,不僅僅預防質量問題,更多的是指前瞻性地防范質量問題的出現。
杭州孝道科技有限公司聯合創始人兼CTO高級工程師徐鋒發表主題演講
徐鋒指出,開源軟件作為一種被廣泛使用的軟件形勢,在軟件行業有著極為重要的地位。近3年來,基于開源軟件的供應鏈攻擊的事件增加了700%,要促進開源軟件生態的健康發展,我們需要構建開源軟件全生命周期治理體系,基于SBOM進行安全治理,并建立相應的威脅情報庫,從數據的收集、整理、清洗、建立情報、持續跟蹤等方面進行豐富。
信創軟件供應鏈安全論壇由浙江省經濟和信息化廳指導,浙江省網絡空間安全協會軟件供應鏈安全專家委員會、浙江省信息技術應用創新聯盟、安恒信息主辦,曙光信息產業股份有限公司、openEuler社區、北京樂研科技股份有限公司、杭州孝道科技有限公司、賽迪蘇州研究院、北京華安保信息技術有限公司協辦。
