开源与软件供应链论坛:ICT深度观察

发表时间: 2023-12-22 12:24

2023年12月21日,由中国信息通信研究院(以下简称“中国信通院”)主办的“2024中国信通院ICT深度观察——开源和软件供应链论坛”在京召开。本届论坛聚焦开源和软件供应链最新发展趋势,围绕开源技术应用能力、软件供应链安全风险等议题开展深入探讨,全面展示中国信通院在开源及软件供应链领域的研究、探索与实践。中国信通院总工程师魏然发表致辞,中国信通院云大所副所长栗蔚等出席会议并进行主题分享。

中国信通院总工程师魏然致辞

魏总表示,开源作为软件供应链的重要组成部分,凭借平等、开放、协作、共享的优秀创作模式,逐渐成为推动数字技术创新、加速传统行业转型升级、助力企业降本增效的重要引擎。当前,开源和软件供应链安全发展呈现以下三方面趋势特点:一是开源软件项目数量持续增长,开源技术覆盖领域加速扩张;二是开源安全问题凸显,威胁软件产品可用性和安全性;三是以开源为切入点,开展软件供应链安全治理成为业界常态。


近年来,中国信通院通过产业研究、标准评估、咨询赋能、公共服务四大抓手推动国内开源和软件供应链安全产业发展。产业研究方面,中国信通院连续第六年发布开源生态白皮书,编制软件供应链安全全景洞察、开源合规指南等20余本研究报告;标准评估方面,搭建形成涵盖国标、行标、团标在内的三十余项开源和软件供应链安全标准体系;咨询赋能方面,构建覆盖培训、诊断、咨询、订阅、评估的全生命周期赋能体系,成功落地十余家企业案例;公共服务方面,成立金融、通信、汽车、科技制造等行业开源社区,软件供应链安全实验室、开源社区共同体、开源合规计划等生态联盟,从供给侧和应用侧双向推动开源和软件供应链安全生态圈建设。

(图:可信开源&可信安全系列评估结果发布)

可信开源系列评估结果

可信安全系列评估结果

在开源领域,中国信通院围绕“安全”、“合规”、“健康”、“可持续”的开源生态发展目标,在业内率先提出“可信开源”理念,目前已形成覆盖开源全生命周期的标准及评估体系,为推动开源技术的安全合规应用与发展提供重要参考。在安全领域,中国信通院面向安全供应侧和用户侧,建立“可信安全”品牌,从软件供应链安全、云安全、零信任、业务风控、安全保险多个领域,建立事前、事中、事后全链条安全体系。

作为论坛的核心环节之一,中国信通院在本届论坛发布最新一批可信开源&可信安全系列评估结果,从开源治理、软件供应链安全、开源供应链、开源项目社区、云安全五个维度,建立一系列可信开源&可信安全标准体系,并落地评估测试,帮助企业降低软件使用风险,推动建立可信开源生态。

(图:中国信通院云大所副所长栗蔚解读)

在“开源安全与软件供应链”专题论坛中,中国信通院云大所副所长栗蔚分享《信息安全技术 软件产品开源代码安全评价方法》国标编制思路。该标准于2022年11月由中国信通院牵头立项,旨在给出开源代码安全评价体系,提高产业开源安全治理能力。标准以可控性、合规性、安全性、稳定性为目标,通过开源代码来源、开源代码质量、开源代码知识产权、开源代码管理4个维度建立安全评价指标体系,并且针对每条指标项给出详尽评价方法,提高标准的可操作性。针对如何进一步提升开源安全水平,栗蔚给出了四点建议:一是加强开源安全漏洞管理,及时更新开源代码版本降低运维成本;二是提升开源许可证合规性,关注开源许可证变化;三是加强开源安全团队管理,提升开源物料清单透明度;四是完善开源安全工具,实现自动化开源安全治理。

(图:中国信通院云大所副所长栗蔚参加合作仪式)

在可信研发运营安全领域,中国信通院围绕软件全生命周期,梳理关键要素,开展《可信研发运营安全能力成熟度模型》标准制定,并以标准为依托构建测试评估体系,探索产研合作模式。在此背景下,中国信通院云大所与华为技术有限公司基于TSM可信研发运营安全能力成熟度开展深度合作,现已通过试点评估初步建立成熟合作模式,使之成为华为可信供应商的准入门槛之一。

(图:中国信通院云大所副所长栗蔚参加发布仪式)

随着企业数字化转型进程加速,企业上云用云走深向实,云远程运维、云远程交付、云数据同步等云远程访问场景的需求增多,作为重要的依托技术,云远程连接正逐渐成为云远程访问的核心。而云远程连接面临网络安全边界不可控、连接透明度不高等挑战。在此背景下,华为云计算技术有限公司与中国信通院云大所共同编写《云远程连接安全实践指南》,提出安全远程连接模型、剖析其安全设计原则和关键技术方案,旨在保障云远程连接过程安全事前可控、事中可视和事后可审,解决云用户对远程连接的安全担忧。

(图:中国信通院云大所开源和软件安全部主任郭雪解读)

为深入了解国内软件供应链安全和软件物料清单工作痛点,中国信通院联合业界头部企业,开展可信软件供应链安全和软件物料清单问卷调研工作。论坛期间,中国信通院云大所开源和软件安全部主任郭雪《软件供应链安全&软件物料清单调研问卷》结果进行了全面解读。郭雪表示软件供应链安全已成为业界关注焦点,软件物料清单作为软件供应链安全治理重要抓手备受瞩目。企业建立以开源软件、商采软件为核心的全生命周期软件供应链安全管理体系,明确软件物料清单数据格式规范,开展软件供应链安全资产管理工作将是下一步工作重点。

同时,郭雪围绕“TSM可信研发运营安全能力成熟度水位图”进行深度解读。TSM可信研运安全能力成熟度强调安全前置,覆盖应用服务全生命周期安全,TSM水位图要素分为五大领域十七类子项,旨在助力企业明确研发运营安全现状,完善改进计划。未来相关团队将从完善TSM评估细节、优化报告内容、丰富行业数据、建立用户反馈机制四方面完善TSM可信研发运营安全能力成熟度水位图工作。

(图:中国信通院云大所开源和软件安全部副主任卫斌发布+解读)

云计算和大数据的飞速发展导致了API爆发式增长,然而,攻击者也针对其开放性和普遍性的特质展开威胁和攻击,导致重大的安全隐患和数据泄露风险。为了应对层出不穷的新型攻击手段和各类安全挑战,企业亟需对API进行统一治理。在此背景下,中国信息通信研究院云计算开源产业联盟编写了《API治理应用案例汇编(2023)》。

本次会议隆重发布了《API治理应用案例汇编(2023)》,共有22个跨越金融、通信、能源、软件和信息服务等多个行业的优秀案例被收录其中。该案例集聚焦API治理实践经验,从需求分析、API治理具体方案、应用成效等方面出发汇集我国企业目前API治理应用的优秀实践案例。 中国信通院云大所开源和软件安全部副主任卫斌对案例集进行解读。

(图:中国“开源之声”编写启动仪式)

在“开源生态”专题论坛环节,中国信通院云大所正式启动《开源之声》编写工作,该书是开源从业者智慧和经验的精华总结,汇集来自不同的研究、工程领域作者所著开源书籍,涉及方向包括开源模式对于软件工程的促进、所有权制度与国际公约、技术架构与项目共同体、文化的继承与发扬等各个方面,为开源从业者提供一本兼具理论指导与实践价值的开源“百科全书”,为行业高质量发展贡献力量。

(图:中国信通院云大所开源和软件安全部高级业务主管张一阳发布+解读)

为进一步引导开源大模型产业规范发展,本次会议正式发布《可信开源大模型案例汇编(第一期)》案例,旨在洞察开源人工智能大模型应用场景,梳理开源人工智能大模型的开源成熟度,提升开源人工智能大模型的创新发展。中国信通院云大所开源和软件安全部高级业务主管张一阳就《可信开源大模型案例汇编(第一期)》进行解读。通过调研国内开源大模型的技术细节、应用场景、商业模式、应用治理、发展趋势等,关注开源大模型技术生态及产业链上下游,全面展现开源大模型及其工具链的发展全貌。此外,通过分析入选本次案例的开源大模型行业实践,为我国大模型产业发展提供路径参考。

(图:中国信通院云大所开源和软件安全部副主任武倩聿解读)

2021年10月,中国人民银行等五部委联合发布《关于规范金融业开源技术应用与发展的意见》,为金融机构开展开源治理工作指明了方向。为贯彻落实意见要求,中国信通院作为牵头单位,联合华泰证券、国泰君安证券、西南证券、易方达基金四家机构,共同承担证标委标准研究课题《证券期货业开源技术应用与风险管理指南研究》。经证标委批准,该课题被评为2023年度优秀课题。会上,中国信通院云大所开源和软件安全部副主任武倩聿对《证券期货业开源风险管理能力成熟度模型》等课题成果进行解读,并分享了部分证券机构的开源治理实践经验。

(图:中国信通院云大所开源和软件安全部业务主管贾宇尘发布+解读)

为进一步规范通信行业开源使用,中国通信学会开源技术委员会、中国信通院云计算开源产业联盟、“科创中国” 开源产业科技服务团联合发布《“源生万态”——中国通信行业开源创新发展案例集》,案例集共收录12家企业23个案例。中国信通院云大所开源和软件安全部主任郭雪中国通信学会咨询部副主任张哲为入选案例集企业颁发证书。中国信通院云大所开源和软件安全部业务主管贾宇尘对《“源生万态”——中国通信行业开源创新发展案例集》进行解读,通过梳理通信行业开源技术应用、通信行业对外开源项目和通信行业企业开源治理三部分案例,我们能够较为全面的了解通信行业在开源领域的前沿动向和丰富实践经验。

(图:企业代表发表演讲)

此外,中国信通院还邀请了华为采购网络安全与用户隐私保护部部长杨明、华为云云安全解决方案产品总监李德刚、智谱AI开源技术布道师张昱轩等企业代表,围绕开源与软件供应链安全、云远程连接安全、大模型开源实践与思考进行主题分享。

数字时代的开源舞台,中国面孔已经站到聚光灯下。中国软件从业者、企业和开发者们,用一点一滴的贡献,刷新着中国开源力量在全球开源生态中的高度。本次论坛通过发布多项开源及软件供应链安全成果,进行深具实践价值的精彩分享,为开源及软件供应链行业高质量发展带来更多启迪和思考。未来,中国信通院将继续与产业各方开展更加紧密的合作,通过制定相关标准、举办行业论坛等,推动开源及软件供应链安全、有序、健康发展,推进千行百业数字化转型,助力数字中国建设。