2022年6月17日,由中国信息通信研究院(以下简称“中国信通院”)主办的2022首届3SCON“软件供应链安全论坛”正式召开。会上,中国信通院发布了多项重要成果,发起成立了软件供应链安全实验室(3S-LAB),并邀请多位业内专家、企业代表围绕软件供应链安全的实践、治理趋势、技术探索等发表了主题演讲。
中国信通院云计算与大数据研究所副所长栗蔚在致辞中表示,我国软件供应链安全发展面临制度体系待完善、存量问题难解决、安全治理效能有待提升等问题。建立体系、制度流程及评价指标推进软件供应链安全工作,提升工作效能,将是日后工作的重点。中国信通院多年来在软件供应链安全领域开展相关工作取得了一系列成果,并将始终认真贯彻国家网络安全相关方针政策,牢固树立总体国家安全观。
为了推进标准落地并规范行业发展,中国信通院积极开展软件供应链安全领域的相关评估工作,并在会上发布了2022年最新评估结果,评估结果如下:
首批通过软件供应链安全管理能力评估(3SM)的企业:
平安银行股份有限公司
中国移动通信集团浙江有限公司
通过可信研发运营安全能力成熟度评估(TSM)的企业:
用友网络科技股份有限公司
通过研发运营安全工具(SAST)评估的企业:
腾讯云计算(北京)有限责任公司
为进一步促进软件供应链产业创新发展,提升企业软件供应链安全治理水平,中国信通院启动了“2022安全守卫者计划--软件供应链安全专题”优秀案例征集评选活动,评选出了一批技术成熟、方案完善、具备广泛应用性的优秀案例。
软件供应链安全实验室(3S-Lab)由中国信通院发起建立,旨在联合政、产、学、研、用多方力量,整合优质资源,研究关键技术,完善标准体系,开展测试与评估,搭建合作桥梁,推动软件供应链安全产业健康有序发展。本次论坛上,软件供应链安全实验室(3S-LAB)正式宣布成立并对实验室首批成员单位代表进行了授牌。
为让国内企业迅速了解软件物料清单(SBOM)技术,推动建立SBOM体系,建信金科与中国信通院联合编撰了《软件物料清单(SBOM)安全应用白皮书》,并在论坛上由建信金科基础技术中心总裁李晓敦、中国信通院云计算与大数据研究所所长何宝宏联合发布。
随后,建信金科基础技术中心信息安全专家王晖对于白皮书内容进行深入解读,她指出,白皮书梳理了软件物料清单(SBOM)的国际进展和相关标准,并对SBOM的发展趋势进行了展望。
中国信通院云计算与大数据研究所开源和软件安全部副主任(主持工作)郭雪以“软件供应链全景观察”为题发表了演讲,她表示,软件供应链安全面临五大挑战,已成为全球安全共识,中国信通院持续开展标准体系建设和评估,保障软件供应链全链路安全。未来中国信通院将继续推进软件供应链安全技术、框架等相关研究,完善软件供应链安全标准体系和系列评估。同时加强生态建设,进一步推动供应链上下游企业完善自身安全管理体系,建立软件供应链安全可信生态。
中国信通院云计算与大数据研究所开源和软件安全部工程师李晓明在论坛上以《软件供应链安全管理能力成熟度模型》为题,从软件供应链管理机制、供应链上游、生产链和供应链下游四大维度对软件供应链安全指标进行了解读,以提高软件供应链需方软件供应链安全管理能力,规范软件供应链需方软件供应链管理流程,并为第三方测评提供新思路。
中国信通院云计算与大数据研究所开源和软件安全部工程师俊哲对于《软件物料清单建设总体框架》进行深入解读。他指出,《软件物料清单建设总体框架》标准的制定,将有助于指导厂商更好的将软件物料清单引入软件供应链安全建设,从而为针对供应链的攻击的快速定位和响应提供解决方向,降低造成重大网络安全事件的风险,同时也将减少用户的采购和使用成本。
平安银行资深安全专家陈迎宾、腾讯安全高级安全研究员张文凯、悬镜安全高级解决方案架构师凌云等行业专家结合软件供应链引入实践,围绕制品检测在供应链安全DevSecOps落地应用中的重要性及相关分析技术的挑战、落地方法以及从软件供应链安全等多角度分享,为行业提供可落地的参考。
通过发布多项软件供应链安全成果,进行深具实践价值的精彩分享,本次论坛圆满结束。未来,中国信通院将继续与产业各方展开更加紧密的合作,通过制定相关标准、举办活动论坛等,推动软件供应链安全、有序、健康发展,推进千行百业数字化转型,助力数字中国建设。
已完成
数据加载中