目前企业使用开源软件构建产品供应给下游用户成为主流趋势,开源软件中的开源漏洞问题屡屡出现,如何构建开源供应链风险管理成为众多产品供应企业的痛点问题。
为进一步推动国内开源供应链安全发展,提升各企事业单位开源供应链安全管理能力,降低开源供应链安全风险,2023年7月18日上午9:00,由中国信息通信研究院和中国通信标准化协会合办的“2023中国互联网大会开源供应链论坛”在北京举办。
中国信通院副总工许志远致辞
中国信通院副总工程师许志远出席活动并发表致辞。许志远从生态建设、标准测试、企业赋能和国际合作等四个方面对中国信息通信研究院近年来在开展开源供应链研究方面的工作成果进行了总结,他指出,生态建设方面,中国信通院依托开源相关社区/组织,推进标准制定、产业交流等相关工作;标准测试方面,通过标准、白皮书与公共服务平台全面覆盖开源全生命周期中的安全风险治理,并于去年11月在信安标委成功立项《信息安全技术 软件产品开源代码安全评价方法》国家标准;企业赋能方面,中国信通院依据自身经验优势,构建开源培训、诊断、咨询、评估、订阅全生命周期赋能体系;国际合作方面与OpenChain项目开展全面深入的合作交流。
论坛中,举行了由中国信息通信研究院发布的“开源安全试点验证成果发布”仪式,以下为评估结果:
开源安全试点验证成果发布
开源安全试点验证企业代表合影
在信安标委的指导下,中国信息通信研究院于2022年11月牵头立项《信息安全技术 软件产品开源代码安全评价方法》国家标准并持续推进标准编制工作。中国信通院云大所副所长栗蔚将《信息安全技术 软件产品开源代码安全评价方法》国家标准编制思路进行了分享。
中国信通院云大所副所长栗蔚发表主题演讲
栗蔚表示开源是开放的无边界的新型的协作模式,基于这样的模式我们数字科技创新、产业开放、经济共享、全球协作四个方面都可以受益。开源应用广泛的现状下也面临诸多开源安全问题,主要分为网络安全风险、知识产权风险和供应链风险。
栗蔚表示,《信息安全技术 软件产品开源代码安全评价方法》国家标准从软件产品中的开源代码来源、开源代码安全质量、开源代码知识产权和开源代码管理四方面进行安全评价,为各单位对于自身软件产品开源代码安全性自评价提供参考,为第三方机构对于软件产品开源代码安全能力进行审查和评估时提供依据,也可为主管监管部门提供参考。
《信息安全技术 软件产品开源代码安全评价方法》国标内容
批次 | 企业名称 | 软件产品名称 | 版本号 |
第一批 | 上海浦东发展银行股份有限公司 | 性能测试工具 | V2.1 |
海通证券股份有限公司 | API接口管理系统 | V2.6.4 | |
重庆长安汽车股份有限公司 | 电商系统 | V1.2.1 | |
第二批 | 兴业银行股份有限公司 | 安全研发服务平台 | V0.1 |
天翼云科技有限公司 | 边缘安全加速平台AccessOne | V1.1.7 | |
比亚迪汽车工业有限公司 | 支付中心系统 | V1.0.0 | |
亿咖通(湖北)技术有限公司 | GKUI项目仓库 | V1.0 | |
山西贵恩博信息科技有限公司 | order管理中心平台 | V1.0 | |
中国农业银行股份有限公司 | 分行金融服务云平台管理端 | V1.0.0 | |
中信银行股份有限公司 | V1.0 | ||
麒麟软件有限公司 | 银河麒麟桌面操作系统 | V10(SP1)2203 | |
第三批 | 国能信息技术有限公司 | 集团网络资源管理平台 | UC2.0 E0709 |
国能大渡河大数据服务有限公司 | 数据商城 | V1.0 | |
宁波银行股份有限公司 | 智能法审系统 | V1.0 | |
极氪智能科技(杭州)有限公司 | 繁星 | V5.11 | |
中科方德软件有限公司 | 方德桌面操作系统 | V5.0 |
三批次开源安全国标试点验证结果
本次沙龙邀请了包括中国农业银行、极氪汽车、华为云、阿里云和中科方德在内的众多行业专家、企业代表,从开源供应链安全治理的落地实践、治理趋势、技术探索等维度,分享了开源供应链安全的相关实践经验。
中国互联网大会开源供应链论坛的圆满举办,为我国开源供应链安全实现规划化、标准化发展提供了些许经验。下一步,中国信息通信研究院将持续关注开源供应链安全发展,解决产业痛点问题,推进我国开源供应链安全生态体系建设,进一步促进我国开源供应链有序、良性发展。
