首頁 > 關于我們 > 安恒動態(tài) > 2023 > 正文

打造韌性供應鏈！2023西湖論劍·信創(chuàng)軟件供應鏈安全論壇召開

閱讀量：次 文章來源：安恒信息

5月7日，2023西湖論劍·數(shù)字安全大會信創(chuàng)軟件供應鏈安全論壇召開，浙江省經濟和信息化廳軟件與集成電路產業(yè)處相關領導，浙江省電子信息產品檢驗研究院相關負責人，中國信息通信研究院安全研究所網絡安全監(jiān)測評估中心主任趙相楠，浙江省網絡空間安全協(xié)會軟件供應鏈安全專家委員會浙商銀行安全研究專家孫鋼，財通證券股份有限公司金融科技研發(fā)部副總經理溫智超，中科曙光云計算產品事業(yè)部副總經理宋國歡，Open歐拉社區(qū)委員會委員、開放原子開源基金會TOC副主席熊偉，蘇州賽迪公司信創(chuàng)中心總經理陳昊，中國軟件測評中心（賽迪）信創(chuàng)中心軟件供應鏈技術專家袁薇，北京樂研科技股份有限公司產品事業(yè)部副總經理張帥，杭州安恒車聯(lián)網安全技術有限公司副總經理楊廷鋒，杭州孝道科技有限公司聯(lián)合創(chuàng)始人兼CTO高級工程師徐鋒，安恒信息高級副總裁、信創(chuàng)領導小組組長劉志樂等出席本次論壇。

近年來，供應鏈攻擊日益猖獗，許多重大的數(shù)據泄露、勒索軟件事件都與供應鏈攻擊有關。在這個背景下，如何保證信創(chuàng)軟件供應鏈的安全性，成為了企業(yè)不得不面對的難題。為響應國家號召，探索和構建網絡安全信創(chuàng)新生代，2023西湖論劍·數(shù)字安全大會設立了信創(chuàng)軟件供應鏈安全論壇，旨在以安全護航信創(chuàng)供應鏈，推動信創(chuàng)產業(yè)的發(fā)展。

浙江省經濟和信息化廳軟件與集成電路產業(yè)處相關領導發(fā)表致辭

浙江省經濟和信息化廳軟件與集成電路產業(yè)處相關領導在致辭中指出，我們在關注集成電路等硬件供應鏈安全的同時，也需要看到軟件產品供應鏈的重要性，通過此次論壇，我們將共同探討如何加強軟件供應鏈的管理和標準規(guī)范，強化軟件產品的安全性、可靠性和可持續(xù)性，滿足不同用戶的需求和期望，推動信創(chuàng)產業(yè)進一步地做深、做實。

中國信息通信研究院安全研究所測評中心主任趙相楠作主題演講

趙相楠介紹了攻防視角下的軟件供應鏈安全挑戰(zhàn)和治理探索。他建議首先開展軟件供應鏈安全頂層設計，推進治理模式由自治或半自治向共治進行轉變，構建起軟件供應鏈的安全標準體系、評價體系、能力體系，尋求發(fā)展與安全的平衡點，并充分應用新的技術解決面臨的新挑戰(zhàn)，防范化解軟件供應鏈安全風險。

預防軟件供應鏈風險需要營造安全可信的網絡空間生態(tài)環(huán)境。同時，行業(yè)用戶也需要提升自身軟件供應鏈安全治理能力，開展供應鏈安全治理。針對這一問題，來自不同行業(yè)的嘉賓分享了相關實踐。

浙江省網絡空間安全協(xié)會軟件供應鏈安全專家委員會浙商銀行安全研究專家孫鋼發(fā)表主題演講

孫鋼認為，金融業(yè)開源軟件安全管控框架可以分成管理、技術、運營三大部分：管理是指要明確組織制度、流程，用于規(guī)范運營跟技術支撐體系；技術支撐是指運用各種安全產品，引入SCI、IAST、RASP、容器安全、BAS、主機安全等技術，為后面的安全運營提供支撐；安全運營是在管理體系的指導下，運用各類安全技術，去開展一些風險治理，最終服務于企業(yè)全生命周期安全防護體系。

財通證券股份有限公司金融科技研發(fā)部副總經理溫智超發(fā)表主題演講

溫智超介紹稱，金融系統(tǒng)的IT環(huán)境非常復雜。為了保護軟件供應鏈的安全，財通證券組建了軟件安全治理委員會，建立了開源軟件和三方廠商的黑白名單的制度，通過在開發(fā)環(huán)境、測試環(huán)境、生產環(huán)境進行代碼檢查和掃描，來確保相關的組件不在黑名單范圍之內。安全治理委員會還牽頭建立一套組織、制度和流程，從測試、編碼、設計、部署、上線，以及后期運維的各個階段都進行自動化的安全管理。同時，安全治理委員會還會牽頭建立一套相關的制度和流程。公司還打造了配套的DevSecOps系統(tǒng)，從工具層面確保從設計、研發(fā)、測試、上線、運維的各個環(huán)節(jié)都能自動化地進行安全管理。

中科曙光云計算產品事業(yè)部副總經理宋國歡發(fā)表主題演講

中科曙光宋國歡表示，曙光云經過15年的技術沉淀，以核心自研、開源增強以及合作技術構建了面向數(shù)字化轉型的國產全棧云底座。作為中科曙光算力的重要輸出方式之一，中科曙光一直致力于在多種技術融合的背景下構建安全的軟件供應鏈體系和自主創(chuàng)新的技術，保障云底座和云服務的安全。

Open歐拉社區(qū)委員會委員、開放原子開源基金會TOC副主席熊偉發(fā)表主題演講

熊偉則分享了openEuler社區(qū)在安全技術方面的探索。他指出，openEuler社區(qū)已經建立了一套非常完整、嚴謹?shù)陌踩┒垂芾頇C制，為openEuler的可持續(xù)性發(fā)展打下了堅實的基礎。同時，openEuler在供應鏈方面初步建立起來SBOM機制，并且和安全漏洞信息進行了交聯(lián)，完善了安全分析流程。在安全技術方面，openEuler社區(qū)已經全棧支持了國密標準，同時開發(fā)了secGear機密計算平臺等安全創(chuàng)新項目。所有這些都將助力用戶基于平臺簡化安全保障工作。

蘇州賽迪公司陳昊與安恒信息劉志樂共同發(fā)布了「蘇州賽迪&安恒信息信創(chuàng)聯(lián)合服務基地」

在本次論壇上，蘇州賽迪公司陳昊與安恒信息劉志樂共同發(fā)布了“蘇州賽迪&安恒信息信創(chuàng)聯(lián)合服務基地”。該基地旨在面向區(qū)域信創(chuàng)用戶側及供給側提供全方位的信創(chuàng)保障支撐服務，為推動區(qū)域信創(chuàng)產業(yè)的健康發(fā)展、促進信息技術提升發(fā)揮重要價值。

中國軟件測評中心（賽迪）信創(chuàng)中心軟件供應鏈技術專家袁薇發(fā)表主題演講

袁薇分享了軟件供應鏈安全保障與評估報告。她指出，保障軟件供應鏈安全應堅持標準牽引，快速推進軟件供應鏈安全標準建設，依據標準開展軟件供應鏈風險評估，在確保軟件代碼安全的基礎上，通過保障軟件供應鏈的安全，使用戶能夠安全、持續(xù)、穩(wěn)定的使用軟件產品以及相應的支持性服務。

北京樂研科技股份有限公司產品事業(yè)部副總經理張帥發(fā)表主題演講

張帥分享了樂研在網絡安全行業(yè)的信創(chuàng)實踐。他指出，經過這十幾年的磨礪，信創(chuàng)產業(yè)進入了一個大規(guī)模的推廣階段，已經初步具備規(guī)范化的能力。樂研已經陸續(xù)推出了飛騰、兆芯、海光等國產化網絡安全硬件平臺，并開始布局面向工業(yè)安全的硬件平臺。

杭州安恒車聯(lián)網安全技術有限公司副總經理楊廷鋒發(fā)表主題演講

楊廷鋒探討了信創(chuàng)軟件安全管理。他指出，軟件的安全質量管理是一個非常重要的話題，其中最關鍵的是實現(xiàn)質量的持續(xù)改進。這涉及到兩套理論，一套理論就是我們常說的PDCA，即從質量的循環(huán)的角度去構建全面質量管理機制；第二套是零缺陷管理理論，即強調預防系統(tǒng)控制和過程控制，不僅僅預防質量問題，更多的是指前瞻性地防范質量問題的出現(xiàn)。

杭州孝道科技有限公司聯(lián)合創(chuàng)始人兼CTO高級工程師徐鋒發(fā)表主題演講

徐鋒指出，開源軟件作為一種被廣泛使用的軟件形勢，在軟件行業(yè)有著極為重要的地位。近3年來，基于開源軟件的供應鏈攻擊的事件增加了700%，要促進開源軟件生態(tài)的健康發(fā)展，我們需要構建開源軟件全生命周期治理體系，基于SBOM進行安全治理，并建立相應的威脅情報庫，從數(shù)據的收集、整理、清洗、建立情報、持續(xù)跟蹤等方面進行豐富。

信創(chuàng)軟件供應鏈安全論壇由浙江省經濟和信息化廳指導，浙江省網絡空間安全協(xié)會軟件供應鏈安全專家委員會、浙江省信息技術應用創(chuàng)新聯(lián)盟、安恒信息主辦，曙光信息產業(yè)股份有限公司、openEuler社區(qū)、北京樂研科技股份有限公司、杭州孝道科技有限公司、賽迪蘇州研究院、北京華安保信息技術有限公司協(xié)辦。

關閉

AI+安全>

數(shù)據安全>

數(shù)據基礎設施>

態(tài)勢感知>

云安全>

基礎安全>

終端安全>

商用密碼>

軟件供應鏈安全>

網絡空間靶場>

工業(yè)互聯(lián)網安全>