2023年12月21日,由中国信通院主办的“2024中国信通院ICT深度观察——开源和软件供应链论坛”成功举办。在论坛上,中国信通院发布最新一批可信开源&可信安全系列评估结果。
本届论坛聚焦开源和软件供应链最新发展趋势,围绕开源技术应用能力、软件供应链安全风险等议题开展深入探讨,全面展示中国信通院在开源及软件供应链领域的研究、探索与实践。中国信通院总工程师魏然致辞中表示,开源作为软件供应链的重要组成部分,凭借平等、开放、协作、共享的优秀创作模式,逐渐成为推动数字技术创新、加速传统行业转型升级、助力企业降本增效的重要引擎。当前,开源和软件供应链安全发展呈现以下三方面趋势特点:一是开源软件项目数量持续增长,开源技术覆盖领域加速扩张;二是开源安全问题凸显,威胁软件产品可用性和安全性;三是以开源为切入点,开展软件供应链安全治理成为业界常态。
近年来,中国信通院通过产业研究、标准评估、咨询赋能、公共服务四大抓手推动国内开源和软件供应链安全产业发展。在产业研究方面,中国信通院连续第六年发布开源生态白皮书,编制软件供应链安全全景洞察、开源合规指南等20余本研究报告;在标准评估方面,搭建形成涵盖国标、行标、团标在内的三十余项开源和软件供应链安全标准体系;在咨询赋能方面,构建覆盖培训、诊断、咨询、订阅、评估的全生命周期赋能体系,成功落地十余家企业案例;在公共服务方面,成立金融、通信、汽车、科技制造等行业开源社区,软件供应链安全实验室、开源社区共同体、开源合规计划等生态联盟,从供给侧和应用侧双向推动开源和软件供应链安全生态圈建设。
在开源领域,中国信通院围绕“安全”“合规”“健康”“可持续”的开源生态发展目标,在业内率先提出“可信开源”理念,目前已形成覆盖开源全生命周期的标准及评估体系,为推动开源技术的安全合规应用与发展提供重要参考。在安全领域,中国信通院面向安全供应侧和用户侧,建立“可信安全”品牌,从软件供应链安全、云安全、零信任、业务风控、安全保险多个领域,建立事前、事中、事后全链条安全体系。
作为论坛的核心环节之一,中国信通院在本届论坛发布最新一批可信开源&可信安全系列评估结果,从开源治理、软件供应链安全、开源供应链、开源项目社区、云安全五个维度,建立一系列可信开源&可信安全标准体系,并落地评估测试,帮助企业降低软件使用风险,推动建立可信开源生态。
可信开源系列评估结果
可信安全系列评估结果
在开源方面,2022年11月由中国信通院牵头立项,制定了《信息安全技术软件产品开源代码安全评价方法》。中国信通院云大所副所长栗蔚介绍,该标准旨在给出开源代码安全评价体系,提高产业开源安全治理能力。标准以可控性、合规性、安全性、稳定性为目标,通过开源代码来源、开源代码质量、开源代码知识产权、开源代码管理4个维度建立安全评价指标体系,并且针对每条指标项给出详尽评价方法,提高标准的可操作性。针对如何进一步提升开源安全水平,栗蔚给出了四点建议:一是加强开源安全漏洞管理,及时更新开源代码版本降低运维成本;二是提升开源许可证合规性,关注开源许可证变化;三是加强开源安全团队管理,提升开源物料清单透明度;四是完善开源安全工具,实现自动化开源安全治理。
在可信研发运营安全领域,中国信通院围绕软件全生命周期,梳理关键要素,开展《可信研发运营安全能力成熟度模型》标准制定,并以标准为依托构建测试评估体系,探索产研合作模式。在此背景下,中国信通院云大所与华为技术有限公司基于TSM可信研发运营安全能力成熟度开展深度合作,现已通过试点评估初步建立成熟合作模式,使之成为华为可信供应商的准入门槛之一。
随着企业数字化转型进程加速,企业上云用云走深向实,云远程运维、云远程交付、云数据同步等云远程访问场景的需求增多,作为重要的依托技术,云远程连接正逐渐成为云远程访问的核心。而云远程连接面临网络安全边界不可控、连接透明度不高等挑战。在此背景下,华为云计算技术有限公司与中国信通院云大所共同编写《云远程连接安全实践指南》,提出安全远程连接模型、剖析其安全设计原则和关键技术方案,旨在保障云远程连接过程安全事前可控、事中可视和事后可审,解决云用户对远程连接的安全担忧。
为深入了解国内软件供应链安全和软件物料清单工作痛点,中国信通院联合业界头部企业,开展可信软件供应链安全和软件物料清单问卷调研工作。论坛期间,中国信通院云大所开源和软件安全部主任郭雪对《软件供应链安全&软件物料清单调研问卷》结果进行了全面解读。郭雪表示软件供应链安全已成为业界关注焦点,软件物料清单作为软件供应链安全治理重要抓手备受瞩目。企业建立以开源软件、商采软件为核心的全生命周期软件供应链安全管理体系,明确软件物料清单数据格式规范,开展软件供应链安全资产管理工作将是下一步工作重点。
数字时代的开源舞台,中国面孔已经站到聚光灯下。中国软件从业者、企业和开发者们,用一点一滴的贡献,刷新着中国开源力量在全球开源生态中的高度。本次论坛通过发布多项开源及软件供应链安全成果,进行深具实践价值的精彩分享,为开源及软件供应链行业高质量发展带来更多启迪和思考。中国信通院表示,未来将继续与产业各方开展更加紧密的合作,通过制定相关标准、举办行业论坛等,推动开源及软件供应链安全、有序、健康发展,推进千行百业数字化转型,助力数字中国建设。
