近年来,在党和政府的关怀与支持下,ICT产业呈现跨越式发展态势。为满足爆发式增长的业务需求,移动网络及相关网络设备的实现方式已从传统的物理化形态转向软件化和虚拟化。实践证明,软件与信息通信行业的深度结合已是助力数字中国发展的强大动力,而与此同时,软件安全也成为数字转型成功与否的重要前提。
从国家战略层面来看,我国“十四五”规划明确提出,“支持数字技术开源社区等创新联合体发展,完善开源知识产权和法律体系,鼓励企业开放软件源代码、硬件设计和应用服务”。工信部印发的《“十四五”软件和信息技术服务业发展规划》则强调,“我国软件和信息技术服务业高质量发展仍面临诸多挑战,产业链供应链脆弱,产品处于价值链中低端,产业链供应链存在断裂风险”。从技术与应用层面来看,当前从ToC的各种生活化应用到ToB的各种企业级应用,几乎所有软件的底层都由某个开源软件所控制,相关企业基于开源项目为客户提供增值服务、组合服务或者技术支持已经成为当前主流。可以说,开源软件已无处不在,任何一家提供信息化或数字化服务的企业都无法与开源软件完全剥离。因此,开源软件的安全性牵一发而动全身,此前Apache的log4j漏洞问题就引发了全球关注,给我们敲响了警钟。
当前软件供应链安全问题现状
1、基础软件对外依赖度高,抗风险能力不足
我国在基础软件领域的发展相对滞后,之前工信部公布的数据中提到国内80%的工业设计软件、50%的制造软件和95%的工业软件市场由国外企业主导,大部分关键基础软件依赖进口。一旦被恶意利用,将对我国的信息安全构成严重威胁。
2、软件供应链全生命周期安全管理存在不足
一是软件供应链安全管理体系不健全,统筹管理待加强。软件供应链供应过程中缺乏统一的安全管理流程,管理框架和有效的运行机制尚未健全,导致安全管理存在盲区和漏洞。一是软件供应链投毒事件频发,不仅给行业带来了安全风险和经济损失,同时还带来了法律风险、信任危机等连锁反应。二是软件供应链中关键组件或服务对供应商过度依赖,一旦上游供应商出现破产、自然灾害、政治因素等问题,将直接导致下游产品出现断供危。若涉及国家“卡脖子”技术或组件,将有可能影响国家安全。
3、安全生态尚不成熟
一是在当前的开发生态系统中,参与方都处于成熟度的初级阶段,没有形成聚力。二是各参与方之间缺乏有效的协同机制,信息流通存在障碍,共享机制不够畅通,难以形成合力。三是参与方运营机制层出不穷,未建立一个高效统一的运营体系,如相对完整统一的组件库,权威的黑白名单机制,当上游出现安全风险能第一时间发布预警,提供全面的解决方案。
4、政策标准尚不完备
开源软件管理机制尚缺乏统一完整标准,部分软件系统存在超危漏洞或重大合规风险。开源软件管理机制尚缺乏统一完整标准,导致在开源软件的选择、使用和管理过程中存在诸多风险,具有溯源困难、风险隐蔽性强等特点,从而增加了潜在的安全隐患。
中国移动主动出击、担当作为
针对以上安全形势,在工信部、信通院等单位的悉心指导与大力支持下,中国移动通过搭建管理制度体系、建立标准规范流程、完善业务支撑平台,推动安全要求左移,促进安全研发与安全运营深度融合,形成了诸多软件全生命周期管理的最佳实践,为软件供应链安全管理的体系化推进积累了经验。
1、构建完善的软件供应链安全治理体系
构建完善的软件供应链安全治理体系,以制度规范为基石,以研发工具链、威胁情报库等能力为支撑,通过源头治理、过程治理以及线上运营治理这大关键阶段强化全周期的安全保障,形成多相关方共同参与、共同治理与共享的的良性发展生态,如图1所示。
图 1 软件供应链安全治理体系参考框架
1.1 强化制度管理,构建全流程规范保障机制
建立健全软件供应链的安全管理制度和规范流程,包括风险评估、安全监测、应急响应等方面,确保软件供应链安全治理的各项活动都有章可循。
1.2 夯实底座基石,深化全过程的安全管控体系
一是在采购环节,对软件供应商选择时做甄别,审查供应商的注册资本、软件开发人员数量、经营状况、相关项目案例、软件成熟度认证等相关安全资质。二是软件开发环节,严格落实安全研发流程管控,在设计阶段开展威胁建模、在开发阶段开展安全代码审计、在测试阶段开展黑盒、白盒、灰盒的安全检测,保障产品研发安全,进行全面的安全测试和漏洞扫描,确保软件上线前不存在重大安全隐患。三是,安全运维环节,建立完善的安全监控和应急响应机制,及时发现并处置安全风险
1.3 厘清各方职责,共同营造安全可信生态圈
建设软件供应链相关方共治共享、激励及责任追究机制,明确相关方职责,调动各方积极参与安全治理并承担相应的责任,加强信息共享、资源共享,形成软件安全治理合力,共同应对软件安全挑战,提高软件供应链的整体安全水平。
软件开发者作为软件安全的第一责任人,应严格遵守安全开发规范,确保软件代码的质量和安全性。
安全治理者负责监督和管理软件开发过程,制定并执行安全标准和政策,及时发现和处置安全隐患。
软件提供者负责提供安全可靠的软件产品和服务,保障用户的合法权益。
软件评定机构则负责对软件进行客观公正的分类分级评定,为用户提供参考和指导
2 多措并举、协同共治
2.1 完善软件供应链安全制度和标准
参照国际先进标准,结合我国、行业内实际情况,牵头制定《开源软件安全风险评价实施指南》、《电信与互联网软件供应链 开源软件安全风险治理》等软件供应链的安全标准体系,从引入阶段、使用阶段、运维阶段、退出阶段对开源软件全生命周期风险评价实施、风险治理等角度提供了指南,规范开源软件全生命周期风险领域相关要求,为软件供应链的安全管理提供明确的指导和依据。
2.2 丰富供应和治理生态
一是在国产软件方面,加大国产软件的研发和推广力度,以关键核心技术自主可控为主线,加大物联网、人工智能、工业设计等相关的关键组件的研发,推动操作系统等基础软件的国产化替代。
二是建立软件供应链治理社区,促进信息共享和经验交流。通过社区平台,拉通行业内各方的沟通与合作,共享安全信息、交流治理经验,形成共同应对软件供应链安全挑战的强大合力。
三是积极开展开源自治,建立开源治理架构,明确开源软件的审批流程、合规性检查以及安全审查机制,确保所有开源项目和决策过程都能遵循明确的制度和流程;同步实施严格的漏洞、许可证合规管理策略,及时响应和修复安全漏洞,逐步强化开源软件的管理和治理能力,推动开源文化的健康发展。
2.3 强化安全技术能力
进一步强化新代码防护手段、技术等的探索,创新安全防护技术。一是,建立完善的物料清单(SBOM)管理机制,确保软件组件的来源和版本信息可追溯,及时发现并处置潜在的安全风险。二是,强化组件检测和分析能力,对软件组件进行安全检测和漏洞扫描,确保软件组件的安全性。三是,建立完善的网络安全防护体系和应急响应能力,加强安全防护和应急响应能力,确保软件供应链在面临安全威胁时能够迅速响应并有效应对。
结语
软件作为科技创新重要载体和产业融合关键纽带,其供应链安全直接关系到科技创新的基础稳固与数字生态的可持续发展。构建完善软件供应链安全治理体系是我国实现数字领域科技创新突破的重要抓手,需要政府、企业和社会多方协同,在安全管理、技术、流程、生态等方面抓深做细,固本清源,切实提升数字生态的产业链、供应链、创新链安全韧性。
转自:中国网
【版权及免责声明】凡本网所属版权作品,转载时须获得授权并注明来源“中国产业经济信息网”,违者本网将保留追究其相关法律责任的权力。凡转载文章及企业宣传资讯,仅代表作者个人观点,不代表本网观点和立场。版权事宜请联系:010-65363056。
延伸阅读
