2023年8月15日，基于軟件物料清單的軟件供應鏈風險管理試點結果正式公布結果。30余家報名單位中共有13個試點項目進入終審，評審團從11個維度對各參評試點方案進行詳細考察。結合初審情況，綜合評分前8名的項目入選信息通信軟件供應鏈安全社區(qū)評優(yōu)推廣案例。中移(杭州)信息技術有限公司(下稱中移杭研)及中國移動信息安全管理與運行中心聯(lián)合申報的“基于SBOM的全生命周期軟件風險治理”項目獲得綜合評分第一名。

　　洞察軟件供應鏈安全痛點，打造全生命周期治理方案

　　開源技術蓬勃發(fā)展，已成為數(shù)字化轉型的核動力，為軟件賦能經(jīng)濟高質量發(fā)展提供了基礎底座。高速的發(fā)展也帶來的巨大的安全隱患，主要體現(xiàn)在：開源軟件安全性無保障，漏洞多;漏洞具有“攻擊一點，傷及一片”問題;軟件存在知識產(chǎn)權風險。黨的二十大報告中強調(diào)“著力提升產(chǎn)業(yè)鏈供應鏈韌性和安全水平”，軟件供應鏈安全風險不但會直接影響關鍵基礎設施和數(shù)字經(jīng)濟安全，甚至會對國家安全產(chǎn)生威脅。

　　中移杭研針對開源軟件在企業(yè)內(nèi)“理不清”、“看不見”、“找不到”等現(xiàn)象，自研守望者·清源平臺，提供軟件物料清單(SBOM)分析、安全漏洞和開源許可等檢測功能。通過標準規(guī)范、源頭治理、過程治理、動態(tài)監(jiān)測等方法，探索出開源軟件從選型、使用、維護到退出的全生命周期治理實踐。

　　以科技創(chuàng)新為核心驅動力，以高質量發(fā)展為首要任務

　　守望者·清源平臺提供軟件成分自動化識別、可視化的技術能力。實現(xiàn)對源碼和二進制包“一鍵式”的全量軟件成分分析，并以“最小元素”的形式輸出軟件成分全量樹。平臺以軟件物料清單為基礎，首創(chuàng)軟件成分動態(tài)化監(jiān)測實踐，實現(xiàn)降本增效。首創(chuàng)軟件成分識別與安全檢測分離技術，打通軟件物料清單上下游完整性驗證。利用開源軟件補丁定位技術提升補丁版本的準確率。

　　守望者·清源平臺與行業(yè)的安全研發(fā)流程(DevSecOps/SDLC)能夠實現(xiàn)無縫融合。通過“2+3+5”技術架構，實現(xiàn)安全6性目標，打造軟件供應鏈治理流程化、標準化機制，樹立軟件供應鏈安全治理實踐的行業(yè)標桿。已建設豐富的安全漏洞庫，組件數(shù)量和漏洞數(shù)量在行業(yè)第一梯隊。

　　

 

　　未來的軟件供應鏈安全領域必將面臨著更加嚴峻的挑戰(zhàn)。中移杭研持續(xù)進行技術及制度創(chuàng)新，總結提煉平臺使用經(jīng)驗，配合社區(qū)推進相關標準規(guī)范制定和完善，豐富更新“軟件物料清單實踐指南”，推進軟件供應鏈上下游共建積極防御體系，推動網(wǎng)絡安全產(chǎn)業(yè)高質量發(fā)展!