8月25日,大湾区(广州)信息技术高质量发展与网络安全论坛顺利召开。会议上,工业和信息化部电子第五研究所针对软件供应链现状,发布了《先进软件供应链管理(2022)白皮书》(征求意见版),旨在推动自主可控软件体系的供应链安全与发展,提升软件产业链现代化水平。
按照“十四五”《软件和信息技术服务业发展规划》中加速“补短板、锻长板、优服务”的要求,工业和信息化部电子第五研究所牵头30家企业开展先进软件供应链领域研究,提出了我国软件产业的发展建议。
本次发布的白皮书中,重点梳理了专有软件供应链定义及内涵,介绍了软件供应链安全门类和现状。会议中,工业和信息化部电子第五研究所专家柴思跃博士对白皮书中部分热点问题进行了解读。
他指出,软件供应链是将源代码、组件、运行环境、知识产权等转化为面向应用需求的特定产品或服务,通过线上或线下软件交付渠道集合,完成交付并持续运营的供给活动。形成了由必要供应方、中间人和第三方服务提供商共同组成的多级网链状供需架构。
软件供应链存在组织、技术、人才、资金、信息等各维度供需模式。供应链安全风险问题尤为突出,目前已收录软件质量缺陷与安全漏洞超过18万个,其中CVE已知漏洞被利用情况仅是冰山一角,开源软件供给生态复杂,主流开源生态中项目版本数量远超公开项目数量,亟需体系化推进产业级开源治理。此外,开源知识存在产权滥用情况,300种开源许可证中仅“木兰”许可为自主协议。
柴博士在软件供应链产业发展方面提出三点建议,一是关注美国对ICT供应链停服、断供等政策风险,重视评估NIST、ISO等供应链标准风险和国外DevSecOps类软件数据安全风险;二是加快推动我国自主软件供应链标准体系研发进程,以应用为牵引,优化自主软件供应链评价指标;三是加快提升产业级软件供应链公共服务能力。
同时,在供需两侧供应链管理层面也提出两点建议,一是信息技术企业应合理使用开源和第三方创新、正确评估和管理软件供应链风险、比竞争对手更快地发布更高质量代码;二是用户单位应建立软件供应链风险管理制度、评估现有体系下的软件供应链风险、有效开展内部软件全生命周期管理、实现软件生命周期信息可追溯、实现风险漏洞的快速响应可处置。
白皮书征求意见稿旨在保障软件和信息技术产业链供应链稳定,提升软件供应链安全与合规管理水平。后续白皮书会继续邀请业内专家,欢迎更多企业加入推进软件供应链高质量发展。
Copyright © 2015. 中国澳门威斯人游戏网址实验室 All rights reserved. 广州市增城区朱村街朱村大道西78号
网站维护:020-87237193 业务联系:020-87236881 粤公网安备 44011802000613号 粤ICP备09030372号-13