点击右上角微信好友
朋友圈
请使用浏览器分享功能进行分享
“数字时代,数字应用开发过程中越来越依赖开源以及第三方组件,由开源以及第三方组件的脆弱性所带来的威胁也愈发严重,数字供应链安全已成为网络安全的热点之一。”北京赛博英杰科技有限公司董事长、正奇学院院长谭晓生这样说。
近日举行的数字供应链安全大会(DSS 2023)以“开源的力量”为主题,由悬镜安全主办,ISC互联网安全大会组委会、中国软件评测中心(工业和信息化部软件与集成电路促进中心)、中国信息通信研究院云计算与大数据研究所、CCF计算机安全专业委员会、北京信息化协会信息技术应用创新工作委员会、OpenChain联合发起,OpenSCA开源社区、XRASP代码疫苗社区协办,共同擘画开源驱动下数字供应链安全生态发展格局。
这段时间,OpenAI及其ChatGPT的火热,又一次证明了开源的力量。北京大学计算机学院网络与安全实验室主任陈钟表示,开源将引领未来包括人工智能创新在内的数字经济发展。数字供应链安全技术、工具、方法方面的突破,能保障信息技术应用创新产业安全可靠,进而服务于经济社会的发展。
信创产业发展已成为国家网络安全战略的重要组成部分。北京信息化协会信息技术应用创新工作委员会秘书长毛新然介绍,为推动信息技术应用创新产业发展,需要政产学研用协同,汇聚数字供应链生态上下游的力量,共同构建一个安全可信赖的数字供应链安全体系,来应对日益增长的数字供应链安全威胁。
开源安全作为一项持续推进的工作,需要社会各界关注。开放原子开源基金会副秘书长辛晓华表示,开源在发展过程中面临安全问题,为建立安全防护能力,护航开源生态可持续发展,各相关单位应携手为开源项目提供应有的支撑,建机制、立标准、强能力、拓合作、铸底线,共同构筑国家安全的开源生态。
“我们要夯实开源软件供应链安全基础设施。”中国工程院院士倪光南表示,开源供应链安全是当前发展开源的核心关键,应当给予高度重视并逐步落实,包括对开源来源、合规性等进行分析,对漏洞风险进行管控,对断供、停服风险进行预警等。
如何定义数字供应链安全?悬镜安全创始人兼CEO、DSS大会执行主席子芽提到,随着信息技术的发展,包括新技术(数字技术)、新发布(开发方式)、新架构(应用构架)、新环境(基础设施)的变化,已促进供应链产生跃迁式变化,传统软件供应链的内涵需扩大为数字供应链,需要将数字应用、基础设施服务、供应链数据统一规划到供应链当中,这是业内首次明确数字供应链的组成。基于此,数字应用安全、基础设施服务安全、供应链数据安全成为数字供应链安全的重点内容。
开源的本质是群智创新和共生进化。针对开源的重要性,子芽认为,开源将是数字供应链发展的力量源泉,其安全性需要得到保障。对此,悬镜安全推出“用开源的方式做开源风险治理”理念,将自身掌握的源码SCA、二进制SCA、运行时SCA这三项关键SCA技术开源,打造OpenSCA开源社区;并基于此,从代码疫苗补丁防御、开源威胁情报、全链路SBOM追踪以及社区生态共建四个方向,赋能企业用户从源头保障开源数字供应链安全。
活动期间,悬镜安全公布了数字供应链SBOM格式——DSDX(Digital Supply-chain Data Exchange );还联合中国电信研究院、ISC互联网安全大会发布《数字供应链安全白皮书(2023)》。(记者 李政葳)