共计 2501 个字符,预计需要花费 7 分钟才能阅读完成。
2022 年 6 月 17 日,由中国信息通信研究院(以下简称“中国信通院”)主办的 2022 首届 3SCON“软件供应链平安论坛”正式召开。会上中国信通院公布了多项重磅成绩,发动成立了软件供应链平安实验室(3S-LAB),并邀请多位业内专家、企业代表围绕软件供应链平安的实际、治理趋势、技术摸索等发表了主题演讲。
中国信通院云计算与大数据研究所副所长栗蔚在致辞中示意,我国软件供应链平安倒退面临制度体系待欠缺、存量问题难解决、平安治理效力有待晋升等问题。建设体系、制度流程及评估指标推动软件供应链平安工作,晋升工作效力,将是日后工作的重点。中国信通院多年来在软件供应链平安畛域发展相干工作获得了一系列成绩,并将始终认真贯彻国家网络安全相干方针政策,牢固建立总体国家安全观。
软件供应链平安系列评估后果公布
为了推动规范落地并标准行业倒退,中国信通院积极开展软件供应链平安畛域的相干评估工作,并在会上公布了 2022 年最新评估后果:
可信平安最新评估后果公布
具体评估后果如下 :
首批通过软件供应链平安治理能力评估(3SM)的企业:
- 安全银行股份有限公司
- 中国移动通信集团浙江有限公司
通过可信研发经营平安能力成熟度评估(TSM)的企业:
- 用友网络科技股份有限公司
通过研发经营平安工具(SAST)评估的企业:
- 腾讯云计算(北京)有限责任公司
中国信通院“2022 平安守卫者打算—软件供应链平安专题”优良案例公布
为进一步促成软件供应链产业翻新倒退,晋升企业软件供应链平安治理程度,中国信通院启动了“2022 平安守卫者打算 – 软件供应链平安专题”优良案例征集评选活动,评比出了一批技术成熟、计划欠缺、具备宽泛应用性的优良案例。
2022 平安守卫者打算——平安经营专题优良案例评比后果
软件供应链平安实验室(3S-LAB)正式成立
软件供应链平安实验室(3S-Lab)由中国信通院发动建设,旨在联结政、产、学、研、用多方力量,整合优质资源,钻研关键技术,欠缺规范体系,发展测试与评估,搭建单干桥梁,推动软件供应链平安产业衰弱有序倒退。本次论坛上,软件供应链平安实验室(3S-LAB)正式发表成立并对实验室首批成员单位代表进行了授牌。
软件供应链平安实验室(3S-LAB)首批成员单位
《软件物料清单(SBOM)平安利用白皮书》公布
为让国内企业迅速理解软件物料清单(SBOM)技术,推动建设 SBOM 体系,建信金科与中国信通院联结编撰了国内首本《软件物料清单(SBOM)平安利用白皮书》,并在论坛上由建信金科根底技术核心总裁李晓敦和中国信通院云大所所长何宝宏联结公布。
《软件物料清单(SBOM)平安利用白皮书》公布
随后,建信金科根底技术核心信息安全专家王晖对于白皮书内容进行深刻解读,她指出,白皮书梳理了软件物料清单(SBOM)的国内停顿和相干规范,并对 SBOM 的发展趋势进行了瞻望。同时,通过软件物料清单(SBOM)在建信金科 DevOps、平安经营平台上的利用实际,为行业提供可落地的参考。
《软件物料清单(SBOM)平安利用白皮书》解读
软件供应链平安洞察
中国信通院云大所开源和软件安全部副主任(主持工作)郭雪以“软件供应链全景察看”为题发表了演讲,她示意,软件供应链平安面临五大挑战,已成为寰球平安共识,中国信通院继续发展规范体系建设和评估,保障软件供应链全链路平安。将来中国信通院将持续推动软件供应链平安技术、框架等相干钻研,欠缺软件供应链平安规范体系和系列评估。同时增强生态建设,进一步推动供应链上下游企业欠缺本身平安管理体系,建设软件供应链平安可信生态。
软件供应链平安洞察解读
与会嘉宾围绕“软件供应链平安”发表精彩演讲
中国信通院云大所开源和软件安全部工程师李晓明在论坛上以《软件供应链平安治理能力成熟度模型》为题,从软件供应链管理机制、供应链上游、生产链和供应链上游四大维度对软件供应链平安指标进行了解读,以进步软件供应链需方软件供应链平安治理能力,标准软件供应链需方软件供应链治理流程,并为第三方测评提供新思路。
联合软件供应链引入实际,安全银行资深平安专家陈迎宾发表了题为“安全银行软件供应链平安实际”的演讲,他指出,为了增强软件供应链平安治理,从 2018 年开始安全银行通过对第三方洽购应用服务,开源组件等进行重点平安治理。通过制订流程标准,建设流程管控平台,对供应链产品在引入平安评估,版本管控,线上继续经营,继续自动化扫描,人工定期平安检视,下线监控等方面进行全流程平安治理,软件供应链平安品质失去明显提高。
中国信通院云大所开源和软件安全部工程师俊哲对于《软件物料清单建设总体框架》进行深刻解读。他指出,《软件物料清单建设总体框架》规范的制订,将有助于领导厂商更好的将软件物料清单引入软件供应链平安建设,从而为针对供应链的攻打的疾速定位和响应提供解决方向,升高造成重大网络安全事件的危险,同时也将缩小用户的洽购和应用老本。
围绕制品检测在供应链平安 DevSecOps 落地利用中的重要性及相干剖析技术的挑战、落地办法,腾讯平安高级平安研究员张文凯详细分析了“供应链平安下制品扫描的技术实际”,他从供应链平安着手,阐述了制品扫描对于供应链平安的必要性、制品扫描在研发流程中的重要位置及相干应用场景引发的技术需要、二进制软件成分剖析在制品扫描中的重要意义及相干技术细节实现、开源组件知识库构建的挑战与意义。
从软件供应链平安研究成果的角度登程,悬镜平安高级解决方案架构师凌云带来“浅谈软件供应链平安治理趋势与最佳实际”主题分享,他示意,悬镜平安联合多年的麻利平安落地实践经验和软件供应链平安研究成果,摸索出基于原创专利级“麻利流程平台 + 关键技术工具链 + 组件化软件供应链平安服务”的第三代 DevSecOps 智适应威逼管理体系,帮忙企业构筑一套适应本身业务弹性倒退、面向麻利业务交付并引领将来架构演进的内生踊跃进攻体系。
通过公布多项软件供应链平安成绩,进行深具实际价值的精彩分享,本次论坛圆满结束。将来,中国信通院将持续与产业各方开展更加严密的单干,通过制订相干规范、举办活动论坛等,推动软件供应链平安、有序、衰弱倒退,推动千行百业数字化转型,助力数字中国建设。