2023年8月15日，基于軟件物料清單的軟件供應鏈風險管理試點結(jié)果正式公布結(jié)果。30余家報名單位中共有13個試點項目進入終審，評審團從11個維度對各參評試點方案進行詳細考察。結(jié)合初審情況，綜合評分前8名的項目入選信息通信軟件供應鏈安全社區(qū)評優(yōu)推廣案例。中移(杭州)信息技術(shù)有限公司(下稱中移杭研)及中國移動信息安全管理與運行中心聯(lián)合申報的“基于SBOM的全生命周期軟件風險治理”項目獲得綜合評分第一名。

　　洞察軟件供應鏈安全痛點，打造全生命周期治理方案

　　開源技術(shù)蓬勃發(fā)展，已成為數(shù)字化轉(zhuǎn)型的核動力，為軟件賦能經(jīng)濟高質(zhì)量發(fā)展提供了基礎(chǔ)底座。高速的發(fā)展也帶來的巨大的安全隱患，主要體現(xiàn)在：開源軟件安全性無保障，漏洞多;漏洞具有“攻擊一點，傷及一片”問題;軟件存在知識產(chǎn)權(quán)風險。黨的二十大報告中強調(diào)“著力提升產(chǎn)業(yè)鏈供應鏈韌性和安全水平”，軟件供應鏈安全風險不但會直接影響關(guān)鍵基礎(chǔ)設(shè)施和數(shù)字經(jīng)濟安全，甚至會對國家安全產(chǎn)生威脅。

　　中移杭研針對開源軟件在企業(yè)內(nèi)“理不清”、“看不見”、“找不到”等現(xiàn)象，自研守望者·清源平臺，提供軟件物料清單(SBOM)分析、安全漏洞和開源許可等檢測功能。通過標準規(guī)范、源頭治理、過程治理、動態(tài)監(jiān)測等方法，探索出開源軟件從選型、使用、維護到退出的全生命周期治理實踐。

　　以科技創(chuàng)新為核心驅(qū)動力，以高質(zhì)量發(fā)展為首要任務

　　守望者·清源平臺提供軟件成分自動化識別、可視化的技術(shù)能力。實現(xiàn)對源碼和二進制包“一鍵式”的全量軟件成分分析，并以“最小元素”的形式輸出軟件成分全量樹。平臺以軟件物料清單為基礎(chǔ)，首創(chuàng)軟件成分動態(tài)化監(jiān)測實踐，實現(xiàn)降本增效。首創(chuàng)軟件成分識別與安全檢測分離技術(shù)，打通軟件物料清單上下游完整性驗證。利用開源軟件補丁定位技術(shù)提升補丁版本的準確率。

　　守望者·清源平臺與行業(yè)的安全研發(fā)流程(DevSecOps/SDLC)能夠?qū)崿F(xiàn)無縫融合。通過“2+3+5”技術(shù)架構(gòu)，實現(xiàn)安全6性目標，打造軟件供應鏈治理流程化、標準化機制，樹立軟件供應鏈安全治理實踐的行業(yè)標桿。已建設(shè)豐富的安全漏洞庫，組件數(shù)量和漏洞數(shù)量在行業(yè)第一梯隊。

　　

 

　　未來的軟件供應鏈安全領(lǐng)域必將面臨著更加嚴峻的挑戰(zhàn)。中移杭研持續(xù)進行技術(shù)及制度創(chuàng)新，總結(jié)提煉平臺使用經(jīng)驗，配合社區(qū)推進相關(guān)標準規(guī)范制定和完善，豐富更新“軟件物料清單實踐指南”，推進軟件供應鏈上下游共建積極防御體系，推動網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展!