聚焦前沿技术与优秀实践 软件供应链安全能力建设论坛在京举行

2月16日，首届ICT软件供应链安全治理论坛暨信息通信软件供应链安全社区第二届成员大会在京举行。由中国铁塔股份有限公司、奇安信集团主办的“软件供应链安全能力建设分论坛”同期举行。论坛以“聚焦前沿技术研究与优秀实践，推动软件供应链安全能力建设”为主题，邀请主管单位、行业用户、研究机构、安全厂商代表，围绕供应链发展的态势判断与行动准则，围绕供应链安全的能力建设与应用实践，提出新方法、新架构。论坛由中国铁塔邓松涛主持。

信息通信软件供应链安全社区副秘书长、中国信息通信研究院安全研究所副所长孟楠表示，工信部《“十四五”信息通信行业发展规划》中明确部署了软件供应链相关工作，产业供应链安全问题已经受到高度重视。在行业主管机构的指导下，中国信通院联合中国铁塔、奇安信等多家企事单位，共同组建的“信息通信软件供应链安全社区”，将团结社会各界力量共同建设和发展社区，持续推动供应链安全治理工作由“被动式”向“引领式”转变，在根源上防范风险并实现治理价值。

奇安信集团副总裁李志鹏在致辞中表示，软件作为数字化时代社会正常运转的基础组件，软件供应链安全也需要体系化建设，实现各场景、各环境问题的最优解。需要安全厂商、软件开发方、供应商等多角度共同参与，共同打造软件供应链安全生态新局面。

在主论坛上，奇安信《2022中国软件供应链安全分析报告》获得了“科学研究文献成果奖”。在分论坛上，软件供应链安全社区首席专家、奇安信集团代码安全实验室主任黄永刚从这一报告内容出发，分享了我国软件供应链安全实践情况，并提出以SBOM为抓手，从监管层面、软件厂商和供应商层面、软件最终用户层面，多角度推进软件供应链安全保障。

中国移动研究院安全所研究员雒晓娜在分享软件供应链安全实践与思考时表示，中国移动既是软件产品的采购方，也是研发方、开源方。在研发过程中，需要在“自研产品软件供应链安全管理”和“采购产品软件供应链安全管理”两个方面解决第三方组件安全问题，强化安全管控。

联通数字科技有限公司安全事业部攻防团队负责人杨晓成从供应链攻击角度出发，分享了联通供应链安全建设实践经验。联通数科打造的供应链安全管理平台，利用“零信任”思路进行管控，来确保平台系统的合规性、有效性。

中国科学院软件研究所研究员吴敬征围绕开源软件供应链基础设施平台“源图”分享了实践经验。作为国内首个开源软件供应链基础设施平台，源图拥有合规性分析、安全性分析、可维护性分析、供应链推荐四大核心功能。

华为云网络安全专家郑志强围绕华为开源及第三方管控分享了治理实践经验。其中，华为云研发安全服务可提供安全设计、隐私合规、代码检查、成分分析、安全测试等多种研发安全能力，满足客户上线前各种安全监测需求。

浙江鹏信CTO章亮提出：“数智时代，链安为先”，并提出了从采购设计环节、开发测试环节、发布运营环节提出应对举措，在CI/CD全流程引入嵌入式安全能力，形成SAST、DAST、IAST、SCA、RASP等安全工具集，实现软件全生命周期安全管控的建设思路。

比瓴科技创始人&CTO贝松涛从平台视角分享了软件供应链安全管理思路。他提出，软件供应链安全的本质是在流动中寻找确定性，而现有的单点安全工具不足以应对现存威胁。而从平台视角出发，补充安全能力，做好软件供应链挂图作战是一种趋势。