云安全
态势感知
物联网安全
工业互联网安全
安全管理
数据安全
网络安全
应用安全
商用密码
端点安全
新型智慧城市
开发安全
云原生安全
网络空间靶场
运营管理服务
打造韧性供应链!2023西湖论剑·信创软件供应链安全论坛召开
5月7日,2023西湖论剑·数字安全大会信创软件供应链安全论坛召开,浙江省经济和信息化厅软件与集成电路产业处相关领导,浙江省电子信息产品检验研究院相关负责人,中国信息通信研究院安全研究所网络安全监测评估中心主任赵相楠,浙江省网络空间安全协会软件供应链安全专家委员会浙商银行安全研究专家孙钢,财通证券股份有限公司金融科技研发部副总经理温智超,中科曙光云计算产品事业部副总经理宋国欢,Open欧拉社区委员会委员、开放原子开源基金会TOC副主席熊伟,苏州赛迪公司信创中心总经理陈昊,中国软件测评中心(赛迪)信创中心软件供应链技术专家袁薇,北京乐研科技股份有限公司产品事业部副总经理张帅,杭州安恒车联网安全技术有限公司副总经理杨廷锋,杭州孝道科技有限公司联合创始人兼CTO高级工程师徐锋,2024新奥门资料高级副总裁、信创领导小组组长刘志乐等出席本次论坛。
近年来,供应链攻击日益猖獗,许多重大的数据泄露、勒索软件事件都与供应链攻击有关。在这个背景下,如何保证信创软件供应链的安全性,成为了企业不得不面对的难题。为响应国家号召,探索和构建网络安全信创新生代,2023西湖论剑·数字安全大会设立了信创软件供应链安全论坛,旨在以安全护航信创供应链,推动信创产业的发展。
浙江省经济和信息化厅软件与集成电路产业处相关领导发表致辞
浙江省经济和信息化厅软件与集成电路产业处相关领导在致辞中指出,我们在关注集成电路等硬件供应链安全的同时,也需要看到软件产品供应链的重要性,通过此次论坛,我们将共同探讨如何加强软件供应链的管理和标准规范,强化软件产品的安全性、可靠性和可持续性,满足不同用户的需求和期望,推动信创产业进一步地做深、做实。
中国信息通信研究院安全研究所测评中心主任赵相楠作主题演讲
赵相楠介绍了攻防视角下的软件供应链安全挑战和治理探索。他建议首先开展软件供应链安全顶层设计,推进治理模式由自治或半自治向共治进行转变,构建起软件供应链的安全标准体系、评价体系、能力体系,寻求发展与安全的平衡点,并充分应用新的技术解决面临的新挑战,防范化解软件供应链安全风险。
预防软件供应链风险需要营造安全可信的网络空间生态环境。同时,行业用户也需要提升自身软件供应链安全治理能力,开展供应链安全治理。针对这一问题,来自不同行业的嘉宾分享了相关实践。
浙江省网络空间安全协会软件供应链安全专家委员会浙商银行安全研究专家孙钢发表主题演讲
孙钢认为,金融业开源软件安全管控框架可以分成管理、技术、运营三大部分:管理是指要明确组织制度、流程,用于规范运营跟技术支撑体系;技术支撑是指运用各种安全产品,引入SCI、IAST、RASP、容器安全、BAS、主机安全等技术,为后面的安全运营提供支撑;安全运营是在管理体系的指导下,运用各类安全技术,去开展一些风险治理,最终服务于企业全生命周期安全防护体系。
财通证券股份有限公司金融科技研发部副总经理温智超发表主题演讲
温智超介绍称,金融系统的IT环境非常复杂。为了保护软件供应链的安全,财通证券组建了软件安全治理委员会,建立了开源软件和三方厂商的黑白名单的制度,通过在开发环境、测试环境、生产环境进行代码检查和扫描,来确保相关的组件不在黑名单范围之内。安全治理委员会还牵头建立一套组织、制度和流程,从测试、编码、设计、部署、上线,以及后期运维的各个阶段都进行自动化的安全管理。同时,安全治理委员会还会牵头建立一套相关的制度和流程。公司还打造了配套的DevSecOps系统,从工具层面确保从设计、研发、测试、上线、运维的各个环节都能自动化地进行安全管理。
中科曙光云计算产品事业部副总经理宋国欢发表主题演讲
中科曙光宋国欢表示,曙光云经过15年的技术沉淀,以核心自研、开源增强以及合作技术构建了面向数字化转型的国产全栈云底座。作为中科曙光算力的重要输出方式之一,中科曙光一直致力于在多种技术融合的背景下构建安全的软件供应链体系和自主创新的技术,保障云底座和云服务的安全。
Open欧拉社区委员会委员、开放原子开源基金会TOC副主席熊伟发表主题演讲
熊伟则分享了openEuler社区在安全技术方面的探索。他指出,openEuler社区已经建立了一套非常完整、严谨的安全漏洞管理机制,为openEuler的可持续性发展打下了坚实的基础。同时,openEuler在供应链方面初步建立起来SBOM机制,并且和安全漏洞信息进行了交联,完善了安全分析流程。在安全技术方面,openEuler社区已经全栈支持了国密标准,同时开发了secGear机密计算平台等安全创新项目。所有这些都将助力用户基于平台简化安全保障工作。
苏州赛迪公司陈昊与2024新奥门资料刘志乐共同发布了「苏州赛迪&2024新奥门资料信创联合服务基地」
在本次论坛上,苏州赛迪公司陈昊与2024新奥门资料刘志乐共同发布了“苏州赛迪&2024新奥门资料信创联合服务基地”。该基地旨在面向区域信创用户侧及供给侧提供全方位的信创保障支撑服务,为推动区域信创产业的健康发展、促进信息技术提升发挥重要价值。
中国软件测评中心(赛迪)信创中心软件供应链技术专家袁薇发表主题演讲
袁薇分享了软件供应链安全保障与评估报告。她指出,保障软件供应链安全应坚持标准牵引,快速推进软件供应链安全标准建设,依据标准开展软件供应链风险评估,在确保软件代码安全的基础上,通过保障软件供应链的安全,使用户能够安全、持续、稳定的使用软件产品以及相应的支持性服务。
北京乐研科技股份有限公司产品事业部副总经理张帅发表主题演讲
张帅分享了乐研在网络安全行业的信创实践。他指出,经过这十几年的磨砺,信创产业进入了一个大规模的推广阶段,已经初步具备规范化的能力。乐研已经陆续推出了飞腾、兆芯、海光等国产化网络安全硬件平台,并开始布局面向工业安全的硬件平台。
杭州安恒车联网安全技术有限公司副总经理杨廷锋发表主题演讲
杨廷锋探讨了信创软件安全管理。他指出,软件的安全质量管理是一个非常重要的话题,其中最关键的是实现质量的持续改进。这涉及到两套理论,一套理论就是我们常说的PDCA,即从质量的循环的角度去构建全面质量管理机制;第二套是零缺陷管理理论,即强调预防系统控制和过程控制,不仅仅预防质量问题,更多的是指前瞻性地防范质量问题的出现。
杭州孝道科技有限公司联合创始人兼CTO高级工程师徐锋发表主题演讲
徐锋指出,开源软件作为一种被广泛使用的软件形势,在软件行业有着极为重要的地位。近3年来,基于开源软件的供应链攻击的事件增加了700%,要促进开源软件生态的健康发展,我们需要构建开源软件全生命周期治理体系,基于SBOM进行安全治理,并建立相应的威胁情报库,从数据的收集、整理、清洗、建立情报、持续跟踪等方面进行丰富。
信创软件供应链安全论坛由浙江省经济和信息化厅指导,浙江省网络空间安全协会软件供应链安全专家委员会、浙江省信息技术应用创新联盟、2024新奥门资料主办,曙光信息产业股份有限公司、openEuler社区、北京乐研科技股份有限公司、杭州孝道科技有限公司、赛迪苏州研究院、北京华安保信息技术有限公司协办。
