目前企业使用开源软件构建产品供应给下游用户成为主流趋势,开源软件中的开源漏洞问题屡屡出现,如何构建开源供应链风险管理成为众多产品供应企业的痛点问题。
为进一步推动国内开源供应链安全发展,提升各企事业单位开源供应链安全管理能力,降低开源供应链安全风险,2023年7月18日,由中国信息通信研究院和中国通信标准化协会合办的“2023中国互联网大会开源供应链论坛”在北京举办。
中国信通院副总工许志远致辞
中国信通院副总工程师许志远出席活动并发表致辞。许志远从生态建设、标准测试、企业赋能和国际合作等四个方面对中国信息通信研究院近年来在开展开源供应链研究方面的工作成果进行了总结,他指出,生态建设方面,中国信通院依托开源相关社区/组织,推进标准制定、产业交流等相关工作;标准测试方面,通过标准、白皮书与公共服务平台全面覆盖开源全生命周期中的安全风险治理,并于去年11月在信安标委成功立项《信息安全技术 软件产品开源代码安全评价方法》国家标准;企业赋能方面,中国信通院依据自身经验优势,构建开源培训、诊断、咨询、评估、订阅全生命周期赋能体系;国际合作方面与OpenChain项目开展全面深入的合作交流。
在信安标委的指导下,中国信息通信研究院于2022年11月牵头立项《信息安全技术 软件产品开源代码安全评价方法》国家标准并持续推进标准编制工作。中国信通院云大所副所长栗蔚将《信息安全技术 软件产品开源代码安全评价方法》国家标准编制思路进行了分享。
栗蔚表示开源是开放的无边界的新型的协作模式,基于这样的模式我们数字科技创新、产业开放、经济共享、全球协作四个方面都可以受益。开源应用广泛的现状下也面临诸多开源安全问题,主要分为网络安全风险、知识产权风险和供应链风险。
栗蔚表示,《信息安全技术 软件产品开源代码安全评价方法》国家标准从软件产品中的开源代码来源、开源代码安全质量、开源代码知识产权和开源代码管理四方面进行安全评价,为各单位对于自身软件产品开源代码安全性自评价提供参考,为第三方机构对于软件产品开源代码安全能力进行审查和评估时提供依据,也可为主管监管部门提供参考。
本次沙龙邀请了包括中国农业银行、极氪汽车、华为云、阿里云和中科方德在内的众多行业专家、企业代表,从开源供应链安全治理的落地实践、治理趋势、技术探索等维度,分享了开源供应链安全的相关实践经验。
文/北京青年报 记者 范辉
编辑/范辉