近年來,在黨和政府的關(guān)懷與支持下���,ICT產(chǎn)業(yè)呈現(xiàn)跨越式發(fā)展態(tài)勢���。為滿足爆發(fā)式增長的業(yè)務(wù)需求,移動網(wǎng)絡(luò)及相關(guān)網(wǎng)絡(luò)設(shè)備的實現(xiàn)方式已從傳統(tǒng)的物理化形態(tài)轉(zhuǎn)向軟件化和虛擬化��。實踐證明����,軟件與信息通信行業(yè)的深度結(jié)合已是助力數(shù)字中國發(fā)展的強大動力���,而與此同時��,軟件安全也成為數(shù)字轉(zhuǎn)型成功與否的重要前提����。
從國家戰(zhàn)略層面來看,我國“十四五”規(guī)劃明確提出��,“支持?jǐn)?shù)字技術(shù)開源社區(qū)等創(chuàng)新聯(lián)合體發(fā)展����,完善開源知識產(chǎn)權(quán)和法律體系,鼓勵企業(yè)開放軟件源代碼���、硬件設(shè)計和應(yīng)用服務(wù)”��。工信部印發(fā)的《“十四五”軟件和信息技術(shù)服務(wù)業(yè)發(fā)展規(guī)劃》則強調(diào)���,“我國軟件和信息技術(shù)服務(wù)業(yè)高質(zhì)量發(fā)展仍面臨諸多挑戰(zhàn),產(chǎn)業(yè)鏈供應(yīng)鏈脆弱����,產(chǎn)品處于價值鏈中低端�����,產(chǎn)業(yè)鏈供應(yīng)鏈存在斷裂風(fēng)險”����。從技術(shù)與應(yīng)用層面來看����,當(dāng)前從ToC的各種生活化應(yīng)用到ToB的各種企業(yè)級應(yīng)用,幾乎所有軟件的底層都由某個開源軟件所控制�����,相關(guān)企業(yè)基于開源項目為客戶提供增值服務(wù)���、組合服務(wù)或者技術(shù)支持已經(jīng)成為當(dāng)前主流����?���?梢哉f,開源軟件已無處不在���,任何一家提供信息化或數(shù)字化服務(wù)的企業(yè)都無法與開源軟件完全剝離�����。因此�����,開源軟件的安全性牽一發(fā)而動全身���,此前Apache的log4j漏洞問題就引發(fā)了全球關(guān)注,給我們敲響了警鐘�。
當(dāng)前軟件供應(yīng)鏈安全問題現(xiàn)狀
1、基礎(chǔ)軟件對外依賴度高���,抗風(fēng)險能力不足
我國在基礎(chǔ)軟件領(lǐng)域的發(fā)展相對滯后�����,之前工信部公布的數(shù)據(jù)中提到國內(nèi)80%的工業(yè)設(shè)計軟件��、50%的制造軟件和95%的工業(yè)軟件市場由國外企業(yè)主導(dǎo)��,大部分關(guān)鍵基礎(chǔ)軟件依賴進口��。一旦被惡意利用����,將對我國的信息安全構(gòu)成嚴(yán)重威脅。
2�����、軟件供應(yīng)鏈全生命周期安全管理存在不足
一是軟件供應(yīng)鏈安全管理體系不健全����,統(tǒng)籌管理待加強。軟件供應(yīng)鏈供應(yīng)過程中缺乏統(tǒng)一的安全管理流程��,管理框架和有效的運行機制尚未健全�����,導(dǎo)致安全管理存在盲區(qū)和漏洞��。一是軟件供應(yīng)鏈投毒事件頻發(fā)���,不僅給行業(yè)帶來了安全風(fēng)險和經(jīng)濟損失�,同時還帶來了法律風(fēng)險、信任危機等連鎖反應(yīng)����。二是軟件供應(yīng)鏈中關(guān)鍵組件或服務(wù)對供應(yīng)商過度依賴,一旦上游供應(yīng)商出現(xiàn)破產(chǎn)��、自然災(zāi)害���、政治因素等問題�����,將直接導(dǎo)致下游產(chǎn)品出現(xiàn)斷供危。若涉及國家“卡脖子”技術(shù)或組件�,將有可能影響國家安全。
3����、安全生態(tài)尚不成熟
一是在當(dāng)前的開發(fā)生態(tài)系統(tǒng)中,參與方都處于成熟度的初級階段����,沒有形成聚力。二是各參與方之間缺乏有效的協(xié)同機制��,信息流通存在障礙�,共享機制不夠暢通����,難以形成合力���。三是參與方運營機制層出不窮���,未建立一個高效統(tǒng)一的運營體系,如相對完整統(tǒng)一的組件庫��,權(quán)威的黑白名單機制�����,當(dāng)上游出現(xiàn)安全風(fēng)險能第一時間發(fā)布預(yù)警��,提供全面的解決方案���。
4��、政策標(biāo)準(zhǔn)尚不完備
開源軟件管理機制尚缺乏統(tǒng)一完整標(biāo)準(zhǔn)��,部分軟件系統(tǒng)存在超危漏洞或重大合規(guī)風(fēng)險���。開源軟件管理機制尚缺乏統(tǒng)一完整標(biāo)準(zhǔn)��,導(dǎo)致在開源軟件的選擇��、使用和管理過程中存在諸多風(fēng)險����,具有溯源困難��、風(fēng)險隱蔽性強等特點��,從而增加了潛在的安全隱患�。
中國移動主動出擊、擔(dān)當(dāng)作為
針對以上安全形勢�,在工信部、信通院等單位的悉心指導(dǎo)與大力支持下����,中國移動通過搭建管理制度體系����、建立標(biāo)準(zhǔn)規(guī)范流程、完善業(yè)務(wù)支撐平臺��,推動安全要求左移,促進安全研發(fā)與安全運營深度融合�,形成了諸多軟件全生命周期管理的最佳實踐,為軟件供應(yīng)鏈安全管理的體系化推進積累了經(jīng)驗�����。
1�����、構(gòu)建完善的軟件供應(yīng)鏈安全治理體系
構(gòu)建完善的軟件供應(yīng)鏈安全治理體系��,以制度規(guī)范為基石�����,以研發(fā)工具鏈�、威脅情報庫等能力為支撐,通過源頭治理����、過程治理以及線上運營治理這大關(guān)鍵階段強化全周期的安全保障,形成多相關(guān)方共同參與�����、共同治理與共享的的良性發(fā)展生態(tài),如圖1所示����。
圖 1 軟件供應(yīng)鏈安全治理體系參考框架
1.1 強化制度管理,構(gòu)建全流程規(guī)范保障機制
建立健全軟件供應(yīng)鏈的安全管理制度和規(guī)范流程��,包括風(fēng)險評估��、安全監(jiān)測�、應(yīng)急響應(yīng)等方面,確保軟件供應(yīng)鏈安全治理的各項活動都有章可循����。
1.2 夯實底座基石,深化全過程的安全管控體系
一是在采購環(huán)節(jié)��,對軟件供應(yīng)商選擇時做甄別���,審查供應(yīng)商的注冊資本�、軟件開發(fā)人員數(shù)量�����、經(jīng)營狀況�、相關(guān)項目案例、軟件成熟度認(rèn)證等相關(guān)安全資質(zhì)�����。二是軟件開發(fā)環(huán)節(jié)�,嚴(yán)格落實安全研發(fā)流程管控,在設(shè)計階段開展威脅建模�、在開發(fā)階段開展安全代碼審計、在測試階段開展黑盒�����、白盒��、灰盒的安全檢測��,保障產(chǎn)品研發(fā)安全����,進行全面的安全測試和漏洞掃描,確保軟件上線前不存在重大安全隱患���。三是��,安全運維環(huán)節(jié)����,建立完善的安全監(jiān)控和應(yīng)急響應(yīng)機制,及時發(fā)現(xiàn)并處置安全風(fēng)險
1.3 厘清各方職責(zé)��,共同營造安全可信生態(tài)圈
建設(shè)軟件供應(yīng)鏈相關(guān)方共治共享����、激勵及責(zé)任追究機制,明確相關(guān)方職責(zé)�����,調(diào)動各方積極參與安全治理并承擔(dān)相應(yīng)的責(zé)任����,加強信息共享、資源共享���,形成軟件安全治理合力�����,共同應(yīng)對軟件安全挑戰(zhàn)��,提高軟件供應(yīng)鏈的整體安全水平���。
軟件開發(fā)者作為軟件安全的第一責(zé)任人,應(yīng)嚴(yán)格遵守安全開發(fā)規(guī)范�����,確保軟件代碼的質(zhì)量和安全性�。
安全治理者負(fù)責(zé)監(jiān)督和管理軟件開發(fā)過程,制定并執(zhí)行安全標(biāo)準(zhǔn)和政策�����,及時發(fā)現(xiàn)和處置安全隱患���。
軟件提供者負(fù)責(zé)提供安全可靠的軟件產(chǎn)品和服務(wù)�����,保障用戶的合法權(quán)益�����。
軟件評定機構(gòu)則負(fù)責(zé)對軟件進行客觀公正的分類分級評定�����,為用戶提供參考和指導(dǎo)
2 多措并舉���、協(xié)同共治
2.1 完善軟件供應(yīng)鏈安全制度和標(biāo)準(zhǔn)
參照國際先進標(biāo)準(zhǔn)�,結(jié)合我國�����、行業(yè)內(nèi)實際情況����,牽頭制定《開源軟件安全風(fēng)險評價實施指南》、《電信與互聯(lián)網(wǎng)軟件供應(yīng)鏈 開源軟件安全風(fēng)險治理》等軟件供應(yīng)鏈的安全標(biāo)準(zhǔn)體系����,從引入階段、使用階段�����、運維階段��、退出階段對開源軟件全生命周期風(fēng)險評價實施���、風(fēng)險治理等角度提供了指南��,規(guī)范開源軟件全生命周期風(fēng)險領(lǐng)域相關(guān)要求�����,為軟件供應(yīng)鏈的安全管理提供明確的指導(dǎo)和依據(jù)�����。
2.2 豐富供應(yīng)和治理生態(tài)
一是在國產(chǎn)軟件方面�����,加大國產(chǎn)軟件的研發(fā)和推廣力度����,以關(guān)鍵核心技術(shù)自主可控為主線����,加大物聯(lián)網(wǎng)、人工智能���、工業(yè)設(shè)計等相關(guān)的關(guān)鍵組件的研發(fā)����,推動操作系統(tǒng)等基礎(chǔ)軟件的國產(chǎn)化替代。
二是建立軟件供應(yīng)鏈治理社區(qū)��,促進信息共享和經(jīng)驗交流��。通過社區(qū)平臺��,拉通行業(yè)內(nèi)各方的溝通與合作���,共享安全信息�、交流治理經(jīng)驗�����,形成共同應(yīng)對軟件供應(yīng)鏈安全挑戰(zhàn)的強大合力��。
三是積極開展開源自治��,建立開源治理架構(gòu)���,明確開源軟件的審批流程�、合規(guī)性檢查以及安全審查機制����,確保所有開源項目和決策過程都能遵循明確的制度和流程��;同步實施嚴(yán)格的漏洞����、許可證合規(guī)管理策略�,及時響應(yīng)和修復(fù)安全漏洞,逐步強化開源軟件的管理和治理能力���,推動開源文化的健康發(fā)展。
2.3 強化安全技術(shù)能力
進一步強化新代碼防護手段�、技術(shù)等的探索,創(chuàng)新安全防護技術(shù)����。一是,建立完善的物料清單(SBOM)管理機制�,確保軟件組件的來源和版本信息可追溯,及時發(fā)現(xiàn)并處置潛在的安全風(fēng)險����。二是,強化組件檢測和分析能力�,對軟件組件進行安全檢測和漏洞掃描,確保軟件組件的安全性。三是��,建立完善的網(wǎng)絡(luò)安全防護體系和應(yīng)急響應(yīng)能力��,加強安全防護和應(yīng)急響應(yīng)能力��,確保軟件供應(yīng)鏈在面臨安全威脅時能夠迅速響應(yīng)并有效應(yīng)對�。
結(jié)語
軟件作為科技創(chuàng)新重要載體和產(chǎn)業(yè)融合關(guān)鍵紐帶,其供應(yīng)鏈安全直接關(guān)系到科技創(chuàng)新的基礎(chǔ)穩(wěn)固與數(shù)字生態(tài)的可持續(xù)發(fā)展��。構(gòu)建完善軟件供應(yīng)鏈安全治理體系是我國實現(xiàn)數(shù)字領(lǐng)域科技創(chuàng)新突破的重要抓手�,需要政府、企業(yè)和社會多方協(xié)同�,在安全管理、技術(shù)�����、流程����、生態(tài)等方面抓深做細(xì),固本清源����,切實提升數(shù)字生態(tài)的產(chǎn)業(yè)鏈�����、供應(yīng)鏈����、創(chuàng)新鏈安全韌性���。
轉(zhuǎn)自:中國網(wǎng)
【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品��,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”�����,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊�,僅代表作者個人觀點,不代表本網(wǎng)觀點和立場����。版權(quán)事宜請聯(lián)系:010-65363056。
延伸閱讀
