近年來���,在黨和政府的關懷與支持下����,ICT產(chǎn)業(yè)呈現(xiàn)跨越式發(fā)展態(tài)勢�。為滿足爆發(fā)式增長的業(yè)務需求,移動網(wǎng)絡及相關網(wǎng)絡設備的實現(xiàn)方式已從傳統(tǒng)的物理化形態(tài)轉向軟件化和虛擬化��。實踐證明����,軟件與信息通信行業(yè)的深度結合已是助力數(shù)字中國發(fā)展的強大動力,而與此同時���,軟件安全也成為數(shù)字轉型成功與否的重要前提��。
從國家戰(zhàn)略層面來看��,我國“十四五”規(guī)劃明確提出���,“支持數(shù)字技術開源社區(qū)等創(chuàng)新聯(lián)合體發(fā)展����,完善開源知識產(chǎn)權和法律體系��,鼓勵企業(yè)開放軟件源代碼�����、硬件設計和應用服務”���。工信部印發(fā)的《“十四五”軟件和信息技術服務業(yè)發(fā)展規(guī)劃》則強調��,“我國軟件和信息技術服務業(yè)高質量發(fā)展仍面臨諸多挑戰(zhàn)��,產(chǎn)業(yè)鏈供應鏈脆弱����,產(chǎn)品處于價值鏈中低端�,產(chǎn)業(yè)鏈供應鏈存在斷裂風險”。從技術與應用層面來看��,當前從ToC的各種生活化應用到ToB的各種企業(yè)級應用,幾乎所有軟件的底層都由某個開源軟件所控制����,相關企業(yè)基于開源項目為客戶提供增值服務、組合服務或者技術支持已經(jīng)成為當前主流���?���?梢哉f�,開源軟件已無處不在����,任何一家提供信息化或數(shù)字化服務的企業(yè)都無法與開源軟件完全剝離。因此����,開源軟件的安全性牽一發(fā)而動全身,此前Apache的log4j漏洞問題就引發(fā)了全球關注����,給我們敲響了警鐘。
當前軟件供應鏈安全問題現(xiàn)狀
1�����、基礎軟件對外依賴度高,抗風險能力不足
我國在基礎軟件領域的發(fā)展相對滯后��,之前工信部公布的數(shù)據(jù)中提到國內80%的工業(yè)設計軟件���、50%的制造軟件和95%的工業(yè)軟件市場由國外企業(yè)主導��,大部分關鍵基礎軟件依賴進口�����。一旦被惡意利用���,將對我國的信息安全構成嚴重威脅。
2��、軟件供應鏈全生命周期安全管理存在不足
一是軟件供應鏈安全管理體系不健全�,統(tǒng)籌管理待加強。軟件供應鏈供應過程中缺乏統(tǒng)一的安全管理流程����,管理框架和有效的運行機制尚未健全,導致安全管理存在盲區(qū)和漏洞�。一是軟件供應鏈投毒事件頻發(fā)�,不僅給行業(yè)帶來了安全風險和經(jīng)濟損失�,同時還帶來了法律風險、信任危機等連鎖反應�����。二是軟件供應鏈中關鍵組件或服務對供應商過度依賴��,一旦上游供應商出現(xiàn)破產(chǎn)����、自然災害、政治因素等問題�,將直接導致下游產(chǎn)品出現(xiàn)斷供危。若涉及國家“卡脖子”技術或組件����,將有可能影響國家安全��。
3�����、安全生態(tài)尚不成熟
一是在當前的開發(fā)生態(tài)系統(tǒng)中�,參與方都處于成熟度的初級階段��,沒有形成聚力�。二是各參與方之間缺乏有效的協(xié)同機制����,信息流通存在障礙,共享機制不夠暢通�����,難以形成合力�。三是參與方運營機制層出不窮,未建立一個高效統(tǒng)一的運營體系�����,如相對完整統(tǒng)一的組件庫����,權威的黑白名單機制,當上游出現(xiàn)安全風險能第一時間發(fā)布預警�,提供全面的解決方案。
4��、政策標準尚不完備
開源軟件管理機制尚缺乏統(tǒng)一完整標準�,部分軟件系統(tǒng)存在超危漏洞或重大合規(guī)風險��。開源軟件管理機制尚缺乏統(tǒng)一完整標準�,導致在開源軟件的選擇��、使用和管理過程中存在諸多風險�����,具有溯源困難�、風險隱蔽性強等特點,從而增加了潛在的安全隱患����。
中國移動主動出擊、擔當作為
針對以上安全形勢�,在工信部、信通院等單位的悉心指導與大力支持下�,中國移動通過搭建管理制度體系、建立標準規(guī)范流程����、完善業(yè)務支撐平臺��,推動安全要求左移���,促進安全研發(fā)與安全運營深度融合�����,形成了諸多軟件全生命周期管理的最佳實踐�,為軟件供應鏈安全管理的體系化推進積累了經(jīng)驗。
1���、構建完善的軟件供應鏈安全治理體系
構建完善的軟件供應鏈安全治理體系����,以制度規(guī)范為基石��,以研發(fā)工具鏈��、威脅情報庫等能力為支撐��,通過源頭治理���、過程治理以及線上運營治理這大關鍵階段強化全周期的安全保障�,形成多相關方共同參與���、共同治理與共享的的良性發(fā)展生態(tài)��,如圖1所示�。
圖 1 軟件供應鏈安全治理體系參考框架
1.1 強化制度管理,構建全流程規(guī)范保障機制
建立健全軟件供應鏈的安全管理制度和規(guī)范流程�����,包括風險評估�����、安全監(jiān)測�����、應急響應等方面�,確保軟件供應鏈安全治理的各項活動都有章可循。
1.2 夯實底座基石����,深化全過程的安全管控體系
一是在采購環(huán)節(jié),對軟件供應商選擇時做甄別��,審查供應商的注冊資本���、軟件開發(fā)人員數(shù)量���、經(jīng)營狀況、相關項目案例�、軟件成熟度認證等相關安全資質。二是軟件開發(fā)環(huán)節(jié)����,嚴格落實安全研發(fā)流程管控,在設計階段開展威脅建模���、在開發(fā)階段開展安全代碼審計���、在測試階段開展黑盒、白盒����、灰盒的安全檢測,保障產(chǎn)品研發(fā)安全����,進行全面的安全測試和漏洞掃描,確保軟件上線前不存在重大安全隱患��。三是,安全運維環(huán)節(jié)����,建立完善的安全監(jiān)控和應急響應機制,及時發(fā)現(xiàn)并處置安全風險
1.3 厘清各方職責�,共同營造安全可信生態(tài)圈
建設軟件供應鏈相關方共治共享、激勵及責任追究機制���,明確相關方職責���,調動各方積極參與安全治理并承擔相應的責任,加強信息共享�、資源共享,形成軟件安全治理合力�����,共同應對軟件安全挑戰(zhàn)��,提高軟件供應鏈的整體安全水平���。
軟件開發(fā)者作為軟件安全的第一責任人�,應嚴格遵守安全開發(fā)規(guī)范���,確保軟件代碼的質量和安全性�。
安全治理者負責監(jiān)督和管理軟件開發(fā)過程,制定并執(zhí)行安全標準和政策����,及時發(fā)現(xiàn)和處置安全隱患�。
軟件提供者負責提供安全可靠的軟件產(chǎn)品和服務,保障用戶的合法權益���。
軟件評定機構則負責對軟件進行客觀公正的分類分級評定��,為用戶提供參考和指導
2 多措并舉�、協(xié)同共治
2.1 完善軟件供應鏈安全制度和標準
參照國際先進標準�����,結合我國��、行業(yè)內實際情況���,牽頭制定《開源軟件安全風險評價實施指南》��、《電信與互聯(lián)網(wǎng)軟件供應鏈 開源軟件安全風險治理》等軟件供應鏈的安全標準體系�����,從引入階段����、使用階段、運維階段��、退出階段對開源軟件全生命周期風險評價實施��、風險治理等角度提供了指南����,規(guī)范開源軟件全生命周期風險領域相關要求,為軟件供應鏈的安全管理提供明確的指導和依據(jù)�。
2.2 豐富供應和治理生態(tài)
一是在國產(chǎn)軟件方面,加大國產(chǎn)軟件的研發(fā)和推廣力度����,以關鍵核心技術自主可控為主線,加大物聯(lián)網(wǎng)���、人工智能�����、工業(yè)設計等相關的關鍵組件的研發(fā)���,推動操作系統(tǒng)等基礎軟件的國產(chǎn)化替代��。
二是建立軟件供應鏈治理社區(qū)����,促進信息共享和經(jīng)驗交流�。通過社區(qū)平臺�,拉通行業(yè)內各方的溝通與合作,共享安全信息�����、交流治理經(jīng)驗�����,形成共同應對軟件供應鏈安全挑戰(zhàn)的強大合力���。
三是積極開展開源自治�,建立開源治理架構���,明確開源軟件的審批流程��、合規(guī)性檢查以及安全審查機制�,確保所有開源項目和決策過程都能遵循明確的制度和流程;同步實施嚴格的漏洞���、許可證合規(guī)管理策略�,及時響應和修復安全漏洞�,逐步強化開源軟件的管理和治理能力,推動開源文化的健康發(fā)展��。
2.3 強化安全技術能力
進一步強化新代碼防護手段����、技術等的探索,創(chuàng)新安全防護技術��。一是����,建立完善的物料清單(SBOM)管理機制,確保軟件組件的來源和版本信息可追溯��,及時發(fā)現(xiàn)并處置潛在的安全風險����。二是���,強化組件檢測和分析能力,對軟件組件進行安全檢測和漏洞掃描���,確保軟件組件的安全性����。三是��,建立完善的網(wǎng)絡安全防護體系和應急響應能力�,加強安全防護和應急響應能力����,確保軟件供應鏈在面臨安全威脅時能夠迅速響應并有效應對。
結語
軟件作為科技創(chuàng)新重要載體和產(chǎn)業(yè)融合關鍵紐帶���,其供應鏈安全直接關系到科技創(chuàng)新的基礎穩(wěn)固與數(shù)字生態(tài)的可持續(xù)發(fā)展���。構建完善軟件供應鏈安全治理體系是我國實現(xiàn)數(shù)字領域科技創(chuàng)新突破的重要抓手,需要政府���、企業(yè)和社會多方協(xié)同��,在安全管理����、技術、流程��、生態(tài)等方面抓深做細�����,固本清源�����,切實提升數(shù)字生態(tài)的產(chǎn)業(yè)鏈���、供應鏈��、創(chuàng)新鏈安全韌性���。
轉自:中國網(wǎng)
【版權及免責聲明】凡本網(wǎng)所屬版權作品,轉載時須獲得授權并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”,違者本網(wǎng)將保留追究其相關法律責任的權力��。凡轉載文章及企業(yè)宣傳資訊�����,僅代表作者個人觀點�����,不代表本網(wǎng)觀點和立場���。版權事宜請聯(lián)系:010-65363056����。
延伸閱讀
