随着数字化转型进程的加快以及开源代码的广泛应用,开源软件在数据中心、终端设备和应用程序中无处不在。软件供应链日趋复杂多元,使得其安全风险不断加剧,针对软件供应链薄弱环节的攻击愈演愈烈,软件供应链安全已成为影响软件安全的关键因素之一。
为帮助企业有效应对开源使用挑战,深入探讨如何提高开源技术应用能力并降低软件供应链安全风险等问题,12月27日,由中国信息通信研究院(以下简称“中国信通院”)主办的2023中国信通院ICT深度观察 开源和软件供应链论坛将正式举办。
本届论坛将聚焦开源和软件供应链最新发展趋势,邀请领域专家、负责人,就开源和软件供应链相关问题展开深度探讨。论坛期间,中国信通院还将重磅发布开源领域评估结果、软件供应链安全领域评估结果、云安全领域评估结果、TSM可信研发运营安全能力成熟度模型、证券期货业开源技术研究课题、软件供应链安全和软件物料清单调研问卷结果分析等一系列最新成果,并围绕开源大模型、开源创新发展、API治理等多维度发布典型应用案例,发布开源安全、云安全多个领域相关白皮书,全面展示中国信通院近期来在开源及软件供应链领域的研究、探索与实践。
亮点一:可信开源&可信安全系列评估结果重磅出炉
中国信通院围绕“安全”、“合规”、“健康”、“可持续”的开源生态发展目标,在业内率先提出“可信开源”理念,目前已形成覆盖开源全生命周期的标准及评估体系,为推动开源技术的安全合规应用与发展提供重要参考。
中国信通院面向安全供应侧和用户侧,建立“可信安全”品牌,从软件供应链安全、云安全、零信任、业务风控、安全保险多个领域,建立事前、事中、事后全链条安全体系。
作为论坛的核心环节之一,中国信通院将从开源治理、软件供应链安全、开源项目社区、云安全等维度展开,发布最新一批可信开源&可信安全系列评估结果。
亮点二:《信息安全技术 软件产品开源代码安全评价方法》&《开源安全研究报告》深度解读
近年来,开源代码安全事件频发,对于软件产品稳定运行、用户数据保护乃至国家安全造成重大威胁,开源代码安全受到业内高度重视。在此背景下,中国信通院持续跟踪开源安全发展动态,并于2022年11月牵头立项《信息安全技术 软件产品开源代码安全评价方法》国家标准。标准对软件产品中开源代码来源、开源代码安全质量、开源代码知识产权和开源代码管理四方面进行安全评价,旨在为加强网络安全和信息化建设贡献力量,营造开源代码安全的网络空间。
此外,在本届论坛上还将深度解读《开源安全研究报告》,聚焦过去一年开源安全发展的新变化。报告介绍了数字化转型时代开源的重要地位、开源当前主要的安全问题类型及影响,以全球视角出发,分别从政策、组织和企业实践经验三方面观察当前主要的开源安全防范措施。其次,报告从开源安全基础设施洞察国内外开源安全发展现状,同时调研重点行业开源安全治理水平,并对我国开源安全治理进行展望。
亮点三:剖析技术行业应用,多维度领域报告及白皮书发布
(1)《软件供应链安全&软件物料清单调研问卷分析》
近年来,以Log4j、SolarWinds为代表的软件供应链安全事件频发,且仍有指数级增长趋势,引起业界高度关注。数字化时代,软件已成为维持日常生产生活正常运行的必备要素之一,与企业利益、公共利益密切相关。建设软件供应链安全管理体系,开展软件供应链安全治理工作成为企业共同诉求。为深入了解各行各业在推进软件供应链安全治理工作和建设软件物料清单体系中面临的痛点和挑战,中国信通院联合业界头部企业代表,开展2023年软件供应链安全和软件物料清单调研问卷工作。本届论坛期间,中国信通院将权威解读分享《软件供应链安全&软件物料清单调研问卷》结果,从企业用户视角,为未来国内软件供应链安全治理和软件物料清单建设提供参考指引和新思路。
(2)《TSM可信研发运营安全能力成熟度模型报告》
“安全左移”理念已诞生多年,安全左移强调进行安全早期介入,贯穿软件服务全生命周期,一方面将实现风险安全可控,做到风险漏洞早发现、早修复,降低成本,提高收益;另一方面将反向推动帮助企业建立安全文化,提升研发、运营、安全团队协作意识。中国信通院自2019年起,牵头推进《可信研发运营安全能力成熟度模型》行业标准,并依据标准开展评估测试,目前已有包括金融、汽车、互联网、运营商、软件厂商、安全厂商在内的30余家企业通过评估。本次测评团队分析评估细节,整理形成《TSM可信研发运营安全能力成熟度模型报告》,旨在绘制TSM整体水位图,为企业提供参考,同时帮助企业对标业界最佳实践,探索构筑符合企业自身情况的全生命周期安全体系,提升企业自身市场竞争力,将自身安全水平进行量化,明确后续改进方向和实施计划。
(3)《云远程连接安全实践指南》
随着企业数字化转型进程加速,企业上云用云走深向实,云远程运维、云远程交付、云数据同步等云远程访问场景的需求增多,作为重要的依托技术,云远程连接正逐渐成为云远程访问的核心。而云远程连接面临网络安全边界不可控、连接透明度不高等挑战。在此背景下,华为云计算技术有限公司与中国信通院云大所共同编写《云远程连接安全实践指南》,提出安全远程连接模型、剖析其安全设计原则和关键技术方案,旨在保障云远程连接过程安全事前可控、事中可视和事后可审,解决云用户对远程连接的安全担忧。
亮点四:证标委优秀课题成果分享,共同探讨证券行业开源治理建设路径
2021年10月,中国人民银行等五部委联合发布《关于规范金融业开源技术应用与发展的意见》,为金融机构开展开源治理工作指明了方向。为贯彻落实意见要求,中国信息通信研究院作为牵头单位,联合华泰证券、国泰君安证券、西南证券、易方达基金四家机构,共同承担证标委2022年标准研究课题《证券期货业开源技术应用与风险管理指南研究》,形成了《证券期货业开源风险管理能力成熟度模型》等标准草案成果。经证标委批准,《证券期货业开源技术应用与风险管理指南研究》已顺利结题,并评为优秀课题。中国信通院将在本届论坛上对课题成果进行深度解读,分享证券行业开源治理前沿成果。
亮点五:全新发布多本案例汇编,把脉时代新技术浪潮
(1)《可信开源大模型案例汇编(第一期)》
随着开源技术占据各大新兴领域的技术路线,其不断丰富人工智能领域的应用场景。今年,Meta相继发布Llama和Llama2,很快成为广受欢迎的开源大模型,也成为许多模型的基座模型。开源大模型可以促进技术的共享和交流,加速人工智能的发展,但也存在数据隐私安全风险、许可协议尚未形成共识、产业生态不健全、商业模式不清晰等问题。为进一步引导开源大模型产业规范发展,中国信通院云计算开源产业联盟编制《可信开源大模型案例汇编(第一期)》案例,旨在洞察开源人工智能大模型应用场景,梳理开源人工智能大模型的开源成熟度,提升开源人工智能大模型的创新发展。此案例汇编将在本届论坛期间正式发布,通过调研国内开源大模型的技术细节、应用场景、商业模式、应用治理、发展趋势等,并关注开源大模型技术生态及产业链上下游,全面展现开源大模型及其工具链的发展全貌,为下一代技术浪潮的发展助力。
(2)《API治理应用案例汇编(2023)》
随着云计算和大数据的飞速发展,API已成为企业数字化转型的重要抓手,企业将越来越多的数据和应用迁移至云端,API也正成为企业成功数字化转型的战略重点之一。为了引导API安全治理工作向好发展,中国信通院云计算开源产业联盟启动《API治理应用案例汇编(2023)》编纂工作,并将在此次论坛正式发布。案例集共包括三方面内容,分别是API治理现状分析、API治理体系建设思路,以及API治理优秀案例汇编。通过向行业展示一批成熟度高、具有示范作用的优秀API安全治理案例,助力行业积极应对不断出现的API安全治理难题,提升企业API安全治理能力,以具有标杆示范意义的优秀案例和行业应用推动API治理技术持续深入发展。
(3)《“源生万态”——中国通信行业开源创新发展案例集》
数字化时代,全球数字经济是开放和紧密相连的整体,经验与知识体系的构建面临海量数据和场景提取。开源能够集众智、采众长,加速软件迭代升级,促进产用协同创新,推动产业生态完善,已成为全球软件技术和产业创新的主导模式。随着开源技术的发展和应用,安全和合规问题等风险挑战愈发突出。为进一步规范通信行业开源使用,中国通信学会开源技术委员会、中国信通院云计算开源产业联盟、“科创中国”开源创新联合体联合发起《“源生万态”——中国通信行业开源创新发展案例集》编纂工作,并在此次论坛正式发布。案例集分为通信行业开源技术应用、通信行业对外开源项目和通信行业企业开源治理三个部分。案例集旨在融合汇聚行业力量,梳理通信行业开源发展趋势,以产业化为导向,展现具有先进性、引领性、示范性的通信行业开源案例,推动行业开源生态持续繁荣发展。
亮点六:开源行业实践、开源之声编写启动……更多看点等待揭幕
除了以上各类重磅发布和深度解读,中国信通院还将邀请业内知名企业开源业务负责人从产业实践角度,围绕开源安全与软件供应链安全行业实践、开源项目及社区实践,为现场观众带来更具行业视野的主题分享。同时,作为本届论坛的重要环节之一,中国信通院将举行《开源之声》编写启动仪式,该书是开源从业者智慧和经验的精华总结,是各类开源文集的“集大成者”,汇集来自不同的研究、工程领域作者所著开源书籍,涉及方向包括开源模式对于软件工程的促进、所有权制度与国际公约、技术架构与项目共同体、文化的继承与发扬等各个方面,为开源从业者提供一本兼具理论指导与实践价值的开源“百科全书”,为行业高质量发展贡献力量。
目前,大会已正式进入启动阶段,诚邀行业专家、产业精英届时莅临指导,共同推进我国开源产业、软件供应链产业高质量发展。