中国信通院首届3SCON软件供应链安全会议成功召开聚焦软件供应链全链路安
作者:余梓阳 栏目:科技 来源:C114通信网 发布时间:2022-06-20 11:57
日前,中国信息通信研究院主办的第一届2022 3SCON软件供应链安全论坛,正式举行会上,中国信通院发布了多项重要成果,发起成立了软件供应链安全实验室,并邀请了多位行业专家和企业代表就软件供应链安全的实践,治理趋势和技术探索进行主题演讲
中国信通院云计算与大数据研究所副所长李伟在发言中表示,中国软件供应链安全发展面临制度有待完善,存量问题有待解决,安全治理效率有待提升等问题建立促进软件供应链安全,提高工作效率的制度,制度流程和评价指标将是今后工作的重点中国信通院多年来在软件供应链安全领域的相关工作取得了一系列成果,将始终认真贯彻国家有关网络安全政策,牢固树立总体国家安全观
软件供应链安全系列评估结果发布
为推动标准实施,规范行业发展,中国信通院积极开展软件供应链安全领域的相关测评工作,并在大会上发布了2022年最新测评结果:
最新可信的安全评估结果出炉。
具体评价结果如下:
首批通过软件供应链安全管理能力评估的企业:
l平安银行股份有限公司
中国移动浙江有限公司
通过可信R&D运营安全能力成熟度评估的企业:
尤勇网络科技有限公司
R&D评估的企业和操作安全工具:
l腾讯云计算有限公司
中国信通院2022安全卫士计划mdash软件供应链安全主题优秀案例发布
为进一步推动软件供应链产业创新发展,提升企业软件供应链安全管理水平,中国信通院推出2022安全卫士计划——软件供应链安全专题优秀案例征集评选活动,评选出一批技术成熟,方案完善,应用广泛的优秀案例。
2022安全卫士计划mdashmdash安全问题优秀案例评选结果
软件供应链安全实验室正式成立。
软件供应链安全实验室由中国信息通信研究院组建,旨在联合政,产,学,研,用,整合优质资源,研究关键技术,完善标准体系,开展测试评估,搭建合作桥梁,促进软件供应链安全产业健康有序发展在本次论坛上,软件供应链安全实验室正式宣布成立,并为实验室首批成员单位代表授牌
软件供应链安全实验室首批成员单位
发布软件物料清单安全应用白皮书。
为了让国内企业快速了解软件物料清单技术,推动SBOM体系的建立,建行与中国信通院共同编写了国内首部《软件物料清单安全应用白皮书》,并由建行基础技术中心总裁李晓盾,中国信通院所所长何在论坛上联合发布。
随后,建信金科基础技术中心信息安全专家王晖对白皮书内容进行了深入解读她指出,白皮书梳理了软件材料清单的国际进展和相关标准,并展望了SBOM的发展趋势同时,通过软件物料清单在建信金科DevOps和安全操作平台上的应用实践,可以为行业提供参考
软件物料清单安全应用白皮书解读
软件供应链安全洞察
郭伊雪,中国信通院大云所开源与软件安全部副主任,软件供应链的全景观察,她就该话题发表演讲,称软件供应链安全面临五大挑战,这已成为全球安全共识中国信通院持续建设和评估标准体系,确保软件供应链全链路的安全未来,中国信通院将继续推进软件供应链安全技术和框架的相关研究,完善软件供应链安全标准体系和系列评估同时,加强生态建设,进一步推动供应链上下游企业完善自身安全管理体系,建立安全可信的软件供应链生态
洞察软件供应链安全
宾客聚集在软件供应链安全,发表精彩的演讲
中国信息通信研究院大云院开源与软件安全部工程师李晓明在论坛上以软件供应链安全管理能力成熟度模型为题,从软件供应链管理机制,供应链上游,生产链,供应链下游四个维度解读软件供应链安全指标,以提升软件供应链需求方的软件供应链安全管理能力,规范软件供应链需求方的软件供应链管理流程,为第三方评估提供新思路。
结合引入软件供应链的实践,平安银行高级安全专家陈迎宾发表了题为平安银行软件供应链安全实践,他在演讲中指出,为加强软件供应链的安全管理,从2018年开始,平安银行通过向第三方购买应用服务和开源组件,聚焦安全管理通过制定流程规范,建立流程控制平台,在引入安全评估,版本控制,在线连续运行,连续自动扫描,人工定期安全检查,离线监控等方面对供应链产品进行全流程安全管理,软件供应链的安全质量明显提高
中国信通院大云院开源与软件安全部工程师俊哲深入解读了软件物料清单构建的一般框架他指出,《软件物料清单构建通用框架》标准的制定将有助于引导厂商更好地将软件物料清单引入软件供应链的安全建设,从而为快速定位和应对针对供应链的攻击提供解决方向,降低重大网络安全事件风险,同时降低用户的购买和使用成本
围绕产品检测在DevSecOps在供应链安全应用中的重要性,相关分析技术面临的挑战及落地方法,腾讯安全高级安全研究员张详细分析了供应链安全下的产品扫描技术实践:他从供应链安全的角度,探讨了产品扫描对于供应链安全的必要性,产品扫描在R&D过程中的重要地位以及相关使用场景引发的技术需求,二进制软件构件分析在产品扫描中的意义以及相关技术细节的实现,构建开源构件知识库的挑战和意义。
从软件供应链安全的研究成果来看,挂镜安全高级解决方案架构师凌云带来了浅谈软件供应链安全管理的趋势和最佳实践:分享主题,他表示,挂镜安全结合多年敏捷安全落地实践经验和软件供应链安全研究成果,基于原创专利层面探索敏捷流程平台+关键技术工具链+组件化软件供应链安全服务第三代DevSecOps智能自适应威胁管理系统,帮助企业构建一套适应自身业务弹性发展,面向敏捷业务交付,引领未来架构演进的内生式主动防御体系。
本次论坛通过发布多项软件供应链安全成果并分享,极具实用价值,圆满结束未来,中国信通院将继续与行业各方更加紧密地合作,通过制定相关标准,举办活动论坛等方式,推动软件供应链安全,有序,健康发展,促进万千商家和行业的数字化转型,助力数字中国建设