近年來，供應(yīng)鏈攻擊日益猖獗，許多重大的數(shù)據(jù)泄露、勒索軟件事件都與供應(yīng)鏈攻擊有關(guān)。在這個(gè)背景下，如何保證信創(chuàng)軟件供應(yīng)鏈的安全性，成為了企業(yè)不得不面對的難題。為響應(yīng)國家號召，探索和構(gòu)建網(wǎng)絡(luò)安全信創(chuàng)新生代，2023西湖論劍·數(shù)字安全大會設(shè)立了信創(chuàng)軟件供應(yīng)鏈安全論壇，旨在以安全護(hù)航信創(chuàng)供應(yīng)鏈，推動(dòng)信創(chuàng)產(chǎn)業(yè)的發(fā)展。

浙江省經(jīng)濟(jì)和信息化廳軟件與集成電路產(chǎn)業(yè)處相關(guān)領(lǐng)導(dǎo)發(fā)表致辭

浙江省經(jīng)濟(jì)和信息化廳軟件與集成電路產(chǎn)業(yè)處相關(guān)領(lǐng)導(dǎo)在致辭中指出，我們在關(guān)注集成電路等硬件供應(yīng)鏈安全的同時(shí)，也需要看到軟件產(chǎn)品供應(yīng)鏈的重要性，通過此次論壇，我們將共同探討如何加強(qiáng)軟件供應(yīng)鏈的管理和標(biāo)準(zhǔn)規(guī)范，強(qiáng)化軟件產(chǎn)品的安全性、可靠性和可持續(xù)性，滿足不同用戶的需求和期望，推動(dòng)信創(chuàng)產(chǎn)業(yè)進(jìn)一步地做深、做實(shí)。

中國信息通信研究院安全研究所測評中心主任趙相楠作主題演講

趙相楠介紹了攻防視角下的軟件供應(yīng)鏈安全挑戰(zhàn)和治理探索。他建議首先開展軟件供應(yīng)鏈安全頂層設(shè)計(jì)，推進(jìn)治理模式由自治或半自治向共治進(jìn)行轉(zhuǎn)變，構(gòu)建起軟件供應(yīng)鏈的安全標(biāo)準(zhǔn)體系、評價(jià)體系、能力體系，尋求發(fā)展與安全的平衡點(diǎn)，并充分應(yīng)用新的技術(shù)解決面臨的新挑戰(zhàn)，防范化解軟件供應(yīng)鏈安全風(fēng)險(xiǎn)。

預(yù)防軟件供應(yīng)鏈風(fēng)險(xiǎn)需要營造安全可信的網(wǎng)絡(luò)空間生態(tài)環(huán)境。同時(shí)，行業(yè)用戶也需要提升自身軟件供應(yīng)鏈安全治理能力，開展供應(yīng)鏈安全治理。針對這一問題，來自不同行業(yè)的嘉賓分享了相關(guān)實(shí)踐。

浙江省網(wǎng)絡(luò)空間安全協(xié)會軟件供應(yīng)鏈安全專家委員會浙商銀行安全研究專家孫鋼發(fā)表主題演講

孫鋼認(rèn)為，金融業(yè)開源軟件安全管控框架可以分成管理、技術(shù)、運(yùn)營三大部分：管理是指要明確組織制度、流程，用于規(guī)范運(yùn)營跟技術(shù)支撐體系；技術(shù)支撐是指運(yùn)用各種安全產(chǎn)品，引入SCI、IAST、RASP、容器安全、BAS、主機(jī)安全等技術(shù)，為后面的安全運(yùn)營提供支撐；安全運(yùn)營是在管理體系的指導(dǎo)下，運(yùn)用各類安全技術(shù)，去開展一些風(fēng)險(xiǎn)治理，最終服務(wù)于企業(yè)全生命周期安全防護(hù)體系。

財(cái)通證券股份有限公司金融科技研發(fā)部副總經(jīng)理溫智超發(fā)表主題演講

溫智超介紹稱，金融系統(tǒng)的IT環(huán)境非常復(fù)雜。為了保護(hù)軟件供應(yīng)鏈的安全，財(cái)通證券組建了軟件安全治理委員會，建立了開源軟件和三方廠商的黑白名單的制度，通過在開發(fā)環(huán)境、測試環(huán)境、生產(chǎn)環(huán)境進(jìn)行代碼檢查和掃描，來確保相關(guān)的組件不在黑名單范圍之內(nèi)。安全治理委員會還牽頭建立一套組織、制度和流程，從測試、編碼、設(shè)計(jì)、部署、上線，以及后期運(yùn)維的各個(gè)階段都進(jìn)行自動(dòng)化的安全管理。同時(shí)，安全治理委員會還會牽頭建立一套相關(guān)的制度和流程。公司還打造了配套的DevSecOps系統(tǒng)，從工具層面確保從設(shè)計(jì)、研發(fā)、測試、上線、運(yùn)維的各個(gè)環(huán)節(jié)都能自動(dòng)化地進(jìn)行安全管理。

中科曙光云計(jì)算產(chǎn)品事業(yè)部副總經(jīng)理宋國歡發(fā)表主題演講

中科曙光宋國歡表示，曙光云經(jīng)過15年的技術(shù)沉淀，以核心自研、開源增強(qiáng)以及合作技術(shù)構(gòu)建了面向數(shù)字化轉(zhuǎn)型的國產(chǎn)全棧云底座。作為中科曙光算力的重要輸出方式之一，中科曙光一直致力于在多種技術(shù)融合的背景下構(gòu)建安全的軟件供應(yīng)鏈體系和自主創(chuàng)新的技術(shù)，保障云底座和云服務(wù)的安全。

Open歐拉社區(qū)委員會委員、開放原子開源基金會TOC副主席熊偉發(fā)表主題演講

熊偉則分享了openEuler社區(qū)在安全技術(shù)方面的探索。他指出，openEuler社區(qū)已經(jīng)建立了一套非常完整、嚴(yán)謹(jǐn)?shù)陌踩┒垂芾頇C(jī)制，為openEuler的可持續(xù)性發(fā)展打下了堅(jiān)實(shí)的基礎(chǔ)。同時(shí)，openEuler在供應(yīng)鏈方面初步建立起來SBOM機(jī)制，并且和安全漏洞信息進(jìn)行了交聯(lián)，完善了安全分析流程。在安全技術(shù)方面，openEuler社區(qū)已經(jīng)全棧支持了國密標(biāo)準(zhǔn)，同時(shí)開發(fā)了secGear機(jī)密計(jì)算平臺等安全創(chuàng)新項(xiàng)目。所有這些都將助力用戶基于平臺簡化安全保障工作。

蘇州賽迪公司陳昊與安恒信息劉志樂共同發(fā)布了「蘇州賽迪&安恒信息信創(chuàng)聯(lián)合服務(wù)基地」

在本次論壇上，蘇州賽迪公司陳昊與安恒信息劉志樂共同發(fā)布了“蘇州賽迪&安恒信息信創(chuàng)聯(lián)合服務(wù)基地”。該基地旨在面向區(qū)域信創(chuàng)用戶側(cè)及供給側(cè)提供全方位的信創(chuàng)保障支撐服務(wù)，為推動(dòng)區(qū)域信創(chuàng)產(chǎn)業(yè)的健康發(fā)展、促進(jìn)信息技術(shù)提升發(fā)揮重要價(jià)值。

中國軟件測評中心（賽迪）信創(chuàng)中心軟件供應(yīng)鏈技術(shù)專家袁薇發(fā)表主題演講

袁薇分享了軟件供應(yīng)鏈安全保障與評估報(bào)告。她指出，保障軟件供應(yīng)鏈安全應(yīng)堅(jiān)持標(biāo)準(zhǔn)牽引，快速推進(jìn)軟件供應(yīng)鏈安全標(biāo)準(zhǔn)建設(shè)，依據(jù)標(biāo)準(zhǔn)開展軟件供應(yīng)鏈風(fēng)險(xiǎn)評估，在確保軟件代碼安全的基礎(chǔ)上，通過保障軟件供應(yīng)鏈的安全，使用戶能夠安全、持續(xù)、穩(wěn)定的使用軟件產(chǎn)品以及相應(yīng)的支持性服務(wù)。

北京樂研科技股份有限公司產(chǎn)品事業(yè)部副總經(jīng)理張帥發(fā)表主題演講

張帥分享了樂研在網(wǎng)絡(luò)安全行業(yè)的信創(chuàng)實(shí)踐。他指出，經(jīng)過這十幾年的磨礪，信創(chuàng)產(chǎn)業(yè)進(jìn)入了一個(gè)大規(guī)模的推廣階段，已經(jīng)初步具備規(guī)范化的能力。樂研已經(jīng)陸續(xù)推出了飛騰、兆芯、海光等國產(chǎn)化網(wǎng)絡(luò)安全硬件平臺，并開始布局面向工業(yè)安全的硬件平臺。

杭州安恒車聯(lián)網(wǎng)安全技術(shù)有限公司副總經(jīng)理?xiàng)钔h發(fā)表主題演講

楊廷鋒探討了信創(chuàng)軟件安全管理。他指出，軟件的安全質(zhì)量管理是一個(gè)非常重要的話題，其中最關(guān)鍵的是實(shí)現(xiàn)質(zhì)量的持續(xù)改進(jìn)。這涉及到兩套理論，一套理論就是我們常說的PDCA，即從質(zhì)量的循環(huán)的角度去構(gòu)建全面質(zhì)量管理機(jī)制；第二套是零缺陷管理理論，即強(qiáng)調(diào)預(yù)防系統(tǒng)控制和過程控制，不僅僅預(yù)防質(zhì)量問題，更多的是指前瞻性地防范質(zhì)量問題的出現(xiàn)。

杭州孝道科技有限公司聯(lián)合創(chuàng)始人兼CTO高級工程師徐鋒發(fā)表主題演講

徐鋒指出，開源軟件作為一種被廣泛使用的軟件形勢，在軟件行業(yè)有著極為重要的地位。近3年來，基于開源軟件的供應(yīng)鏈攻擊的事件增加了700%，要促進(jìn)開源軟件生態(tài)的健康發(fā)展，我們需要構(gòu)建開源軟件全生命周期治理體系，基于SBOM進(jìn)行安全治理，并建立相應(yīng)的威脅情報(bào)庫，從數(shù)據(jù)的收集、整理、清洗、建立情報(bào)、持續(xù)跟蹤等方面進(jìn)行豐富。