近年來,在黨和政府的關懷與支持下,ICT產業呈現跨越式發展態勢。為滿足爆發式增長的業務需求,移動網絡及相關網絡設備的實現方式已從傳統的物理化形態轉向軟件化和虛擬化。實踐證明,軟件與信息通信行業的深度結合已是助力數字中國發展的強大動力,而與此同時,軟件安全也成為數字轉型成功與否的重要前提。
從國家戰略層面來看,我國“十四五”規劃明確提出,“支持數字技術開源社區等創新聯合體發展,完善開源知識產權和法律體系,鼓勵企業開放軟件源代碼、硬件設計和應用服務”。工信部印發的《“十四五”軟件和信息技術服務業發展規劃》則強調,“我國軟件和信息技術服務業高質量發展仍面臨諸多挑戰,產業鏈供應鏈脆弱,產品處于價值鏈中低端,產業鏈供應鏈存在斷裂風險”。從技術與應用層面來看,當前從ToC的各種生活化應用到ToB的各種企業級應用,幾乎所有軟件的底層都由某個開源軟件所控制,相關企業基于開源項目為客戶提供增值服務、組合服務或者技術支持已經成為當前主流。可以說,開源軟件已無處不在,任何一家提供信息化或數字化服務的企業都無法與開源軟件完全剝離。因此,開源軟件的安全性牽一發而動全身,此前Apache的log4j漏洞問題就引發了全球關注,給我們敲響了警鐘。
當前軟件供應鏈安全問題現狀
1、基礎軟件對外依賴度高,抗風險能力不足
我國在基礎軟件領域的發展相對滯后,之前工信部公布的數據中提到國內80%的工業設計軟件、50%的制造軟件和95%的工業軟件市場由國外企業主導,大部分關鍵基礎軟件依賴進口。一旦被惡意利用,將對我國的信息安全構成嚴重威脅。
2、軟件供應鏈全生命周期安全管理存在不足
一是軟件供應鏈安全管理體系不健全,統籌管理待加強。軟件供應鏈供應過程中缺乏統一的安全管理流程,管理框架和有效的運行機制尚未健全,導致安全管理存在盲區和漏洞。一是軟件供應鏈投毒事件頻發,不僅給行業帶來了安全風險和經濟損失,同時還帶來了法律風險、信任危機等連鎖反應。二是軟件供應鏈中關鍵組件或服務對供應商過度依賴,一旦上游供應商出現破產、自然災害、政治因素等問題,將直接導致下游產品出現斷供危。若涉及國家“卡脖子”技術或組件,將有可能影響國家安全。
3、安全生態尚不成熟
一是在當前的開發生態系統中,參與方都處于成熟度的初級階段,沒有形成聚力。二是各參與方之間缺乏有效的協同機制,信息流通存在障礙,共享機制不夠暢通,難以形成合力。三是參與方運營機制層出不窮,未建立一個高效統一的運營體系,如相對完整統一的組件庫,權威的黑白名單機制,當上游出現安全風險能第一時間發布預警,提供全面的解決方案。
4、政策標準尚不完備
開源軟件管理機制尚缺乏統一完整標準,部分軟件系統存在超危漏洞或重大合規風險。開源軟件管理機制尚缺乏統一完整標準,導致在開源軟件的選擇、使用和管理過程中存在諸多風險,具有溯源困難、風險隱蔽性強等特點,從而增加了潛在的安全隱患。
中國移動主動出擊、擔當作為
針對以上安全形勢,在工信部、信通院等單位的悉心指導與大力支持下,中國移動通過搭建管理制度體系、建立標準規范流程、完善業務支撐平臺,推動安全要求左移,促進安全研發與安全運營深度融合,形成了諸多軟件全生命周期管理的最佳實踐,為軟件供應鏈安全管理的體系化推進積累了經驗。
1、構建完善的軟件供應鏈安全治理體系
構建完善的軟件供應鏈安全治理體系,以制度規范為基石,以研發工具鏈、威脅情報庫等能力為支撐,通過源頭治理、過程治理以及線上運營治理這大關鍵階段強化全周期的安全保障,形成多相關方共同參與、共同治理與共享的的良性發展生態,如圖1所示。
圖 1 軟件供應鏈安全治理體系參考框架
1.1 強化制度管理,構建全流程規范保障機制
建立健全軟件供應鏈的安全管理制度和規范流程,包括風險評估、安全監測、應急響應等方面,確保軟件供應鏈安全治理的各項活動都有章可循。
1.2 夯實底座基石,深化全過程的安全管控體系
一是在采購環節,對軟件供應商選擇時做甄別,審查供應商的注冊資本、軟件開發人員數量、經營狀況、相關項目案例、軟件成熟度認證等相關安全資質。二是軟件開發環節,嚴格落實安全研發流程管控,在設計階段開展威脅建模、在開發階段開展安全代碼審計、在測試階段開展黑盒、白盒、灰盒的安全檢測,保障產品研發安全,進行全面的安全測試和漏洞掃描,確保軟件上線前不存在重大安全隱患。三是,安全運維環節,建立完善的安全監控和應急響應機制,及時發現并處置安全風險
1.3 厘清各方職責,共同營造安全可信生態圈
建設軟件供應鏈相關方共治共享、激勵及責任追究機制,明確相關方職責,調動各方積極參與安全治理并承擔相應的責任,加強信息共享、資源共享,形成軟件安全治理合力,共同應對軟件安全挑戰,提高軟件供應鏈的整體安全水平。
軟件開發者作為軟件安全的第一責任人,應嚴格遵守安全開發規范,確保軟件代碼的質量和安全性。
安全治理者負責監督和管理軟件開發過程,制定并執行安全標準和政策,及時發現和處置安全隱患。
軟件提供者負責提供安全可靠的軟件產品和服務,保障用戶的合法權益。
軟件評定機構則負責對軟件進行客觀公正的分類分級評定,為用戶提供參考和指導
2 多措并舉、協同共治
2.1 完善軟件供應鏈安全制度和標準
參照國際先進標準,結合我國、行業內實際情況,牽頭制定《開源軟件安全風險評價實施指南》、《電信與互聯網軟件供應鏈 開源軟件安全風險治理》等軟件供應鏈的安全標準體系,從引入階段、使用階段、運維階段、退出階段對開源軟件全生命周期風險評價實施、風險治理等角度提供了指南,規范開源軟件全生命周期風險領域相關要求,為軟件供應鏈的安全管理提供明確的指導和依據。
2.2 豐富供應和治理生態
一是在國產軟件方面,加大國產軟件的研發和推廣力度,以關鍵核心技術自主可控為主線,加大物聯網、人工智能、工業設計等相關的關鍵組件的研發,推動操作系統等基礎軟件的國產化替代。
二是建立軟件供應鏈治理社區,促進信息共享和經驗交流。通過社區平臺,拉通行業內各方的溝通與合作,共享安全信息、交流治理經驗,形成共同應對軟件供應鏈安全挑戰的強大合力。
三是積極開展開源自治,建立開源治理架構,明確開源軟件的審批流程、合規性檢查以及安全審查機制,確保所有開源項目和決策過程都能遵循明確的制度和流程;同步實施嚴格的漏洞、許可證合規管理策略,及時響應和修復安全漏洞,逐步強化開源軟件的管理和治理能力,推動開源文化的健康發展。
2.3 強化安全技術能力
進一步強化新代碼防護手段、技術等的探索,創新安全防護技術。一是,建立完善的物料清單(SBOM)管理機制,確保軟件組件的來源和版本信息可追溯,及時發現并處置潛在的安全風險。二是,強化組件檢測和分析能力,對軟件組件進行安全檢測和漏洞掃描,確保軟件組件的安全性。三是,建立完善的網絡安全防護體系和應急響應能力,加強安全防護和應急響應能力,確保軟件供應鏈在面臨安全威脅時能夠迅速響應并有效應對。
結語
軟件作為科技創新重要載體和產業融合關鍵紐帶,其供應鏈安全直接關系到科技創新的基礎穩固與數字生態的可持續發展。構建完善軟件供應鏈安全治理體系是我國實現數字領域科技創新突破的重要抓手,需要政府、企業和社會多方協同,在安全管理、技術、流程、生態等方面抓深做細,固本清源,切實提升數字生態的產業鏈、供應鏈、創新鏈安全韌性。
轉自:中國網
【版權及免責聲明】凡本網所屬版權作品,轉載時須獲得授權并注明來源“中國產業經濟信息網”,違者本網將保留追究其相關法律責任的權力。凡轉載文章及企業宣傳資訊,僅代表作者個人觀點,不代表本網觀點和立場。版權事宜請聯系:010-65363056。
延伸閱讀