2024年12月19日,由中国通信标准化协会主办、中国信息通信研究院(以下简称“中国信通院”)承办的“2024开源和软件安全沙龙”在京召开。会上,由云计算开源产业联盟撰写的《软件供应链安全发展洞察报告(2024)》正式发布。中国信通院云大所开源和软件安全部高级业务主管吴江伟对报告进行了深度解读。

软件供应链安全治理通过明确供需双方安全管理核心要素,构建可信安全生态,强化软件供给水平和应用效能,助力软件产业健康持续发展。目前,越来越多的企业意识到维护软件供应链安全的重要性,并在相关技术、工具和实践等多方面进行探索。

在此背景下,中国信通院云计算开源产业联盟编制《软件供应链安全发展洞察报告(2024)》,明确软件供应链安全相关定义和推进软件供应链安全治理的重要意义,从国家、标准组织、产业层面系统梳理全球软件供应链安全发展现状。同时,针对软件自身和软件供应链相关活动,从软件供应链供需双方视角出发,搭建软件供应链安全治理体系,助力企业提升软件供应链安全建设能力。

报告核心内容

核心内容一:软件供应链安全治理助力提升软件产业稳定性和安全性

软件供应链安全治理通过降低软件供应链上的每一个环节的安全威胁,提升软件供应链安全性,构建可信安全生态。同时,通过软件供应链安全治理保障软件产品和服务建设方对软件产品和服务或供应链的控制能力,强化软件供应链上下游协作,实现软件供方企业的高水平供给和需方企业高效能应用

核心内容二:我国标准组织积极推进软件供应链安全及配套标准编制工作

我国各标准组织从软件供应链安全角度出发,逐步完善相关标准编制工作,积极构建软件供应链安全标准体系,规范软件供应链的安全管理和控制,包括GB/T43698-2024《网络安全技术 软件供应链安全要求》GB/T43848-2024《信息安全技术 软件产品开源代码安全评价方法》《网络安全技术 软件物料清单数据格式》(在研)等。

核心内容三:重点行业企业以开源治理为切入点进行软件供应链治理

我国企业以开源治理供应商管理软件物料清单建设视为软件供应链治理的出发点和抓手进行软件供应链治理。根据中国信通院调研结果显示,超过73%的企业关注开源治理体系建设。此外,软件物料清单作为软件供应链安全治理的重要抓手得到近50%企业关注。

核心内容四:软件供应链安全治理涉及供需双方和多环节多主体

供方企业治理重点为完善开发和交付过程,提高软件供给能力。供方是开展软件产品开发、交付、运维、废止等生命周期活动的组织,应从组织与制度流程、软件安全开发、软件安全交付、服务支持等方面进行软件供应链安全治理。

需方企业治理重点为规范引入和使用过程,夯实内部治理能力。需方是从其他组织获取软件产品的组织,泛指软件用户或者软件采购方,应从组织与制度流程、软件采购管理、软件安全评估、安全运营等方面进行软件供应链安全治理。

更多内容欢迎扫码下载《软件供应链安全发展洞察报告(2024)》

业务联系人

王老师 18652930342 wangyuanyuan@caict.ac.cn

吴老师 18810541612 wujiangwei@caict.ac.cn

中国信息通信研究院 | 云计算与大数据研究所 | 开源和软件安全部

声明:本文来自CAICT可信安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。