近日,由“自主可控新鲜事”作为媒体支持单位的2023西湖论剑·数字安全大会信创软件供应链安全论坛成功召开。论坛就软件供应链安全挑战和治理探索、金融业开源软件供应链安全管控等话题进行了探讨,并发布赛迪苏州&安恒信息信创联合服务基地。 5月7日,2023西湖论剑·数字安全大会信创软件供应链安全论坛召开,浙江省经济和信息化厅软件与集成电路产业处相关领导,浙江省电子信息产品检验研究院相关负责人,中国信息通信研究员安全研究所网络安全监测评估中心主任赵相楠,浙江省网络空间安全协会软件供应链安全专家委员会浙商银行安全研究专家孙钢,财通证券股份有限公司金融科技研发部副总经理温智超,中科曙光云计算产品事业部副总经理宋国欢,Open欧拉社区委员会委员、开放原子开源基金会TOC副主席熊伟,赛迪苏州研究院、苏州赛迪公司信创中心总经理陈昊,中国软件测评中心(赛迪)信创中心软件供应链技术专家袁薇,北京乐研科技股份有限公司产品事业部副总经理张帅,杭州安恒车联网安全技术有限公司副总经理杨廷锋,杭州孝道科技有限公司联合创始人兼CTO高级工程师徐锋,安恒信息高级副总裁、信创领导小组组长刘志乐等出席本次论坛。 近年来,供应链攻击日益猖獗,许多重大的数据泄露、勒索软件事件都与供应链攻击有关。在这个 背景下,如何保证信创软件供应链的安全性,成为了企业不得不面对的难题。为响应国家号召,探索和构建网络安全信创新生代,2023西湖论剑·数字安全大会设立了信创软件供应链安全论坛,旨在以安全护航信创供应链,推动信创产业的发展。 浙江省经济和信息化厅软件与集成电路产业处相关领导发表致辞 浙江省经济和信息化厅软件与集成电路产业处相关领导在致辞中指出,我们在关注集成电路等硬件供应链安全的同时,也需要看到软件产品供应链的重要性,通过此次论坛,我们将共同探讨如何加强软件供应链的管理和标准规范,强化软件产品的安全性、可靠性和可持续性,满足不同用户的需求和期望,推动信创产业进一步的做深、做实。 中国信息通信研究员安全研究所网络安全监测评估中心主任赵相楠发布主题演讲 赵相楠介绍了共创视角下的软件供应链安全挑战和治理探索,他指出,要完善软件供应链的安全治理,建议首先开展安全的顶层设计,建立起长效的工作机制,随后在现有的模式下推进治理模式由企业自治或半自治,向共治进行转变。企业还需要构建起软件供应链的安全评价体系,寻求发展与安全的平衡点,并充分应用新的技术解决所面对的新挑战。 预防软件供应链风险需要营造安全可信的网络空间生态环境。同时,行业用户也需要提升自身软件供应链安全治理能力,开展供应链安全治理。针对这一问题,来自不同行业的嘉宾分享了相关实践。 浙江省网络空间安全协会软件供应链安全专家委员会浙商银行安全研究专家孙钢发表主题演讲 孙钢认为,金融业开放软件安全管控框架可以分成管理、技术、运营三大部分:管理是指要明确组织制度、流程,用于规范运营跟技术支撑体系;技术支撑是指运用各种安全产品,引入SCI、IAST、RASP、容器安全、BAS、主机安全等技术,为后面的安全运营提供支撑;安全运营就是在管理体系的指导下,运用各类安全技术,去开展一些风险治理,最终服务于企业全生命周期安全防护体系。 财通证券股份有限公司金融科技研发部副总经理温智超发表主题演讲 温智超介绍称,金融系统的IT环境非常复杂,为了保护软件供应链的安全,财通证券组建了软件安全治理委员会,建立了开源软件和三方厂商的黑白名单的制度,通过在开发环境、测试环境、生产环境进行代码检查和扫描,来确保相关的组件不在黑名单范围之内,最后,安全治理委员会还会牵头建立一套组织、制度和流程,从测试、编码、设计、部署、上线,以及后期运维的各个阶段都进行自动化的安全管理。 中科曙光云计算产品事业部副总经理宋国欢发表主题演讲 中科曙光宋国欢表示,曙光云经过15年的技术沉淀,以核心自研、开源增强以及合作技术构建了面向数字化转型的国产全栈云底座,作为中科曙光算力的重要输出方式之一。中科曙光一直致力于在多种技术融合的背景下构建安全的软件供应链体系和自主创新的技术,保障云底座和云服务的安全。 Open欧拉社区委员会委员、开放原子开源基金会TOC副主席熊伟发表主题演讲 熊伟则分享了openEuler社区在安全技术方面的探索,他指出,openEuler社区已经建立了一套非常复杂、严谨的安全机制,并构建了非常完善的SBOM,所有的安全漏洞信息会和SBOM进行交叉、联合,完善安全分析流程。而且,openEuler社区已经安排了安全相关的平台性的项目,这些项目能够助力用户基于平台简化安全保障工作。 苏州赛迪公司陈昊与安恒信息刘志乐共同发布了《赛迪苏州&安恒信息信创联合服务基地》 在本次论坛上,苏州赛迪公司陈昊与安恒信息刘志乐共同发布了《赛迪苏州&安恒信息信创联合服务基地》,该基地对于推动信创产业的健康发展、促进信息技术的应用和推广以及提高国家的信息安全能力都具有重要的意义。 中国软件测评中心(赛迪)信创中心软件供应链技术专家袁薇发表主题演讲 袁薇分享了软件供应链安全保障与评估报告,她指出,为了能更好的分析软件供应链中目前存在的一些风险,洞悉当前软件供应链的现状,赛迪提出了一套评估的准则,在确保软件代码安全的基础上,通过保障软件供应链的安全,使用户能够安全、持续、稳定的使用软件产品以及相应的知识性服务。 北京乐研科技股份有限公司产品事业部副总经理张帅 张帅分享了乐研在网络安全行业的信创实践,他指出,经过这十几年的磨砺,信创产业进入了一个大规模的推广阶段,已经初步具备规范化的能力,乐研已经陆续推出了飞腾、兆芯、海光等国产化网络安全硬件平台,并开始布局面向工业安全的硬件平台。 杭州安恒车联网安全技术有限公司副总经理杨廷锋发表主题演讲 杨廷锋探讨了信创软件安全管理,他指出,软件的安全质量管理是一个非常重要的话题,其中最关键的事实现质量的持续改进,这涉及到两套理论,一套理论就是我们常说的PDCA,即从质量的循环的角度去构建全面质量管理机制,第二套是零缺陷管理理论,即强调预防系统控制和过程控制,不仅仅预防质量问题,更多的是指前瞻性地防范质量问题的出现。 杭州孝道科技有限公司联合创始人兼CTO高级工程师徐锋发表主题演讲 徐锋指出,开源软件作为一种被广泛使用的软件形势,在软件行业有着极为重要的地位。近3年来,基于开源软件的供应链攻击的事件增加了700%,要促进开源软件生态的健康发展,我们需要构建开源软件全生命周期治理体系,基于SBOM进行安全治理,并建立相应的威胁情报库,从数据的收集、整理、清洗、建立情报、持续跟踪等方面进行丰富。 信创软件供应链安全论坛由浙江省经济和信息化厅指导,浙江省网络空间安全协会软件供应链安全专家委员会、浙江省信息技术应用创新联盟、安恒信息主办,曙光信息产业股份有限公司、openEuler社区、北京乐研科技股份有限公司、杭州孝道科技有限公司、赛迪苏州研究院、北京华安保信息技术有限公司协办。 免责声明:本文系网络转载,版权归原作者所有。但因转载众多,或无法确认真正原始作者,故仅标明转载来源,如涉及作品版权问题,请与我们联系,我们将在第一时间删除内容!内容为作者个人观点,并不代表本网站赞同其观点和对其真实性负责。 |