聚焦前沿技術與優秀實踐 軟件供應鏈安全能力建設論壇在京舉行

2月16日，首屆ICT軟件供應鏈安全治理論壇暨信息通信軟件供應鏈安全社區第二屆成員大會在京舉行。由中國鐵塔股份有限公司、奇安信集團主辦的“軟件供應鏈安全能力建設分論壇”同期舉行。論壇以“聚焦前沿技術研究與優秀實踐，推動軟件供應鏈安全能力建設”為主題，邀請主管單位、行業用戶、研究機構、安全廠商代表，圍繞供應鏈發展的態勢判斷與行動準則，圍繞供應鏈安全的能力建設與應用實踐，提出新方法、新架構。論壇由中國鐵塔鄧松濤主持。

信息通信軟件供應鏈安全社區副秘書長、中國信息通信研究院安全研究所副所長孟楠表示，工信部《“十四五”信息通信行業發展規劃》中明確部署了軟件供應鏈相關工作，產業供應鏈安全問題已經受到高度重視。在行業主管機構的指導下，中國信通院聯合中國鐵塔、奇安信等多家企事單位，共同組建的“信息通信軟件供應鏈安全社區”，將團結社會各界力量共同建設和發展社區，持續推動供應鏈安全治理工作由“被動式”向“引領式”轉變，在根源上防范風險并實現治理價值。

奇安信集團副總裁李志鵬在致辭中表示，軟件作為數字化時代社會正常運轉的基礎組件，軟件供應鏈安全也需要體系化建設，實現各場景、各環境問題的最優解。需要安全廠商、軟件開發方、供應商等多角度共同參與，共同打造軟件供應鏈安全生態新局面。

在主論壇上，奇安信《2022中國軟件供應鏈安全分析報告》獲得了“科學研究文獻成果獎”。在分論壇上，軟件供應鏈安全社區首席專家、奇安信集團代碼安全實驗室主任黃永剛從這一報告內容出發，分享了我國軟件供應鏈安全實踐情況，并提出以SBOM為抓手，從監管層面、軟件廠商和供應商層面、軟件最終用戶層面，多角度推進軟件供應鏈安全保障。

中國移動研究院安全所研究員雒曉娜在分享軟件供應鏈安全實踐與思考時表示，中國移動既是軟件產品的采購方，也是研發方、開源方。在研發過程中，需要在“自研產品軟件供應鏈安全管理”和“采購產品軟件供應鏈安全管理”兩個方面解決第三方組件安全問題，強化安全管控。

聯通數字科技有限公司安全事業部攻防團隊負責人楊曉成從供應鏈攻擊角度出發，分享了聯通供應鏈安全建設實踐經驗。聯通數科打造的供應鏈安全管理平臺，利用“零信任”思路進行管控，來確保平臺系統的合規性、有效性。

中國科學院軟件研究所研究員吳敬征圍繞開源軟件供應鏈基礎設施平臺“源圖”分享了實踐經驗。作為國內首個開源軟件供應鏈基礎設施平臺，源圖擁有合規性分析、安全性分析、可維護性分析、供應鏈推薦四大核心功能。

華為云網絡安全專家鄭志強圍繞華為開源及第三方管控分享了治理實踐經驗。其中，華為云研發安全服務可提供安全設計、隱私合規、代碼檢查、成分分析、安全測試等多種研發安全能力，滿足客戶上線前各種安全監測需求。

浙江鵬信CTO章亮提出：“數智時代，鏈安為先”，并提出了從采購設計環節、開發測試環節、發布運營環節提出應對舉措，在CI/CD全流程引入嵌入式安全能力，形成SAST、DAST、IAST、SCA、RASP等安全工具集，實現軟件全生命周期安全管控的建設思路。

比瓴科技創始人&CTO貝松濤從平臺視角分享了軟件供應鏈安全管理思路。他提出，軟件供應鏈安全的本質是在流動中尋找確定性，而現有的單點安全工具不足以應對現存威脅。而從平臺視角出發，補充安全能力，做好軟件供應鏈掛圖作戰是一種趨勢。