2023年8月15日，基于軟件物料清單的軟件供應(yīng)鏈風(fēng)險(xiǎn)管理試點(diǎn)結(jié)果正式公布結(jié)果。30余家報(bào)名單位中共有13個(gè)試點(diǎn)項(xiàng)目進(jìn)入終審，評(píng)審團(tuán)從11個(gè)維度對(duì)各參評(píng)試點(diǎn)方案進(jìn)行詳細(xì)考察。結(jié)合初審情況，綜合評(píng)分前8名的項(xiàng)目入選信息通信軟件供應(yīng)鏈安全社區(qū)評(píng)優(yōu)推廣案例。中移(杭州)信息技術(shù)有限公司(下稱中移杭研)及中國移動(dòng)信息安全管理與運(yùn)行中心聯(lián)合申報(bào)的“基于SBOM的全生命周期軟件風(fēng)險(xiǎn)治理”項(xiàng)目獲得綜合評(píng)分第一名。

　　洞察軟件供應(yīng)鏈安全痛點(diǎn)，打造全生命周期治理方案

　　開源技術(shù)蓬勃發(fā)展，已成為數(shù)字化轉(zhuǎn)型的核動(dòng)力，為軟件賦能經(jīng)濟(jì)高質(zhì)量發(fā)展提供了基礎(chǔ)底座。高速的發(fā)展也帶來的巨大的安全隱患，主要體現(xiàn)在：開源軟件安全性無保障，漏洞多;漏洞具有“攻擊一點(diǎn)，傷及一片”問題;軟件存在知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)。黨的二十大報(bào)告中強(qiáng)調(diào)“著力提升產(chǎn)業(yè)鏈供應(yīng)鏈韌性和安全水平”，軟件供應(yīng)鏈安全風(fēng)險(xiǎn)不但會(huì)直接影響關(guān)鍵基礎(chǔ)設(shè)施和數(shù)字經(jīng)濟(jì)安全，甚至?xí)��?duì)國家安全產(chǎn)生威脅。

　　中移杭研針對(duì)開源軟件在企業(yè)內(nèi)“理不清”、“看不見”、“找不到”等現(xiàn)象，自研守望者·清源平臺(tái)，提供軟件物料清單(SBOM)分析、安全漏洞和開源許可等檢測(cè)功能。通過標(biāo)準(zhǔn)規(guī)范、源頭治理、過程治理、動(dòng)態(tài)監(jiān)測(cè)等方法，探索出開源軟件從選型、使用、維護(hù)到退出的全生命周期治理實(shí)踐。

　　以科技創(chuàng)新為核心驅(qū)動(dòng)力，以高質(zhì)量發(fā)展為首要任務(wù)

　　守望者·清源平臺(tái)提供軟件成分自動(dòng)化識(shí)別、可視化的技術(shù)能力。實(shí)現(xiàn)對(duì)源碼和二進(jìn)制包“一鍵式”的全量軟件成分分析，并以“最小元素”的形式輸出軟件成分全量樹。平臺(tái)以軟件物料清單為基礎(chǔ)，首創(chuàng)軟件成分動(dòng)態(tài)化監(jiān)測(cè)實(shí)踐，實(shí)現(xiàn)降本增效。首創(chuàng)軟件成分識(shí)別與安全檢測(cè)分離技術(shù)，打通軟件物料清單上下游完整性驗(yàn)證。利用開源軟件補(bǔ)丁定位技術(shù)提升補(bǔ)丁版本的準(zhǔn)確率。

　　守望者·清源平臺(tái)與行業(yè)的安全研發(fā)流程(DevSecOps/SDLC)能夠?qū)崿F(xiàn)無縫融合。通過“2+3+5”技術(shù)架構(gòu)，實(shí)現(xiàn)安全6性目標(biāo)，打造軟件供應(yīng)鏈治理流程化、標(biāo)準(zhǔn)化機(jī)制，樹立軟件供應(yīng)鏈安全治理實(shí)踐的行業(yè)標(biāo)桿。已建設(shè)豐富的安全漏洞庫，組件數(shù)量和漏洞數(shù)量在行業(yè)第一梯隊(duì)。

　　

 

　　未來的軟件供應(yīng)鏈安全領(lǐng)域必將面臨著更加嚴(yán)峻的挑戰(zhàn)。中移杭研持續(xù)進(jìn)行技術(shù)及制度創(chuàng)新，總結(jié)提煉平臺(tái)使用經(jīng)驗(yàn)，配合社區(qū)推進(jìn)相關(guān)標(biāo)準(zhǔn)規(guī)范制定和完善，豐富更新“軟件物料清單實(shí)踐指南”，推進(jìn)軟件供應(yīng)鏈上下游共建積極防御體系，推動(dòng)網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展!