CCIA技术沙龙 | 新形势下的软件供应链安全探索与实践沙龙顺利召开

      近年来，重大安全事件、实战攻防演练中可以看出，软件供应链攻击已经成为突破业务安全防线的新路径之一。很多被黑客利用的风险在软件供应链源头被引入，成为软件中最难发现、易被突破的问题。

      12月1日，由中国网络安全产业联盟（CCIA）主办，默安科技承办的“新形势下的软件供应链安全探索与实践”线上技术沙龙成功举办。本次技术沙龙邀请了中国信息安全测评中心、大成律师事务所、vivo、默安科技等专家代表参会，围绕软件供应链安全现状、相关政策要求等，分享安全开发实践经验，共同探讨软件供应链安全治理解决方案。本次沙龙也是中国网络安全产业联盟“CCIA技术沙龙”系列活动之一。

      中国网络安全产业联盟副秘书长许玉娜表示，软件产品和服务关系生产、生活的各个领域，软件供应链安全直接影响社会的稳定运行，应对软件供应链安全风险将成为保障网络空间安全和维护国家安全的重要手段。希望各会员单位与中国网络安全产业联盟共同为国家关键信息基础设施数字化转型等多场景下的安全建设赋能。

      随后，各位专家代表围绕软件供应链安全治理各抒己见，展开精彩分享。

中国信息安全测评中心

《软件供应链安全现状与分析》

      近年来，信息技术领域供应链安全事件层出不穷，在软件定义世界的时代，软件供应链安全为传统软件安全带来了新的挑战，成为网络空间中影响重大的现实问题。本议题围绕软件供应链安全风险、面临的安全挑战、国内外政府及产业界等为保障软件供应链安全所采取应对措施、面向软件供应链环节的安全保障及相关对策建议等内容展开介绍。

大成律师事务所

《供应链安全相关政策要求及管理实践》

      供应链安全作为网络安全工作的一部分尤为重要，软件供应链安全更是今年的热点问题之一。今年发布的《关键信息基础设施安全保护条例》、《网络安全审查办法（修订草案征求意见稿）》、《网络产品安全漏洞管理规定》均涉及供应链安全相关问题。《信息安全技术 关键信息基础设施信息技术产品供应链安全要求》已完成征求意⻅，即将发布，《信息安全技术 软件供应链安全要求》也在编制中。面对软件供应链的安全攻击事件连续快速增⻓态势，企业软件供应链安全管理和技术水平仍需持续提升。

vivo

《智能终端DevSecOps安全开发实践》

杭州默安科技有限公司

《软件供应链下的安全治理之路》

对于软件供应链安全治理，默安科技结合大量客户交流与服务经验，建议首先明确治理的边界，使团队将治理的重点聚焦到关键业务和风险点上。其次，不论是自行研发、驻场开发、委托开发还是直采模式，都涉及了大量部门和人员，需参照一套科学方法，拉通软件供应链各环节的协作。同时，遵循原有的业务规范和习惯，以寻找最符合本单位实际情况的落地路径。具体落地途径包括制定治理目标、借助自动化工具与平台建立“可度量”的治理能力、设计安全基线与卡口位置、管控软件供应商等等。但整个治理过程都离不开经验丰富的运营治理团队，遵循先小范围试点、后分阶段实施的原则逐步展开。

最后提问与讨论环节中，与会代表同专家代表围绕软件供应链的具体落地细节、安全开发、相关自动化工具等话题展开了热烈探讨，探索系统化、标准化的软件供应链解决方案，以及各行业数字化转型过程中抵御软件供应链攻击的实际场景。

本次技术沙龙旨在搭建沟通交流平台，促进网络安全产业重要细分领域不断发展，今后，中国网络安全产业联盟将继续为我国网络安全产业创新发展提供有力支持，为实现网络强国战略提供坚实保障。

演讲PPT

下载链接：https://pan.baidu.com/s/1NB1U4nzVPtov15wqt-rXlw

提取码：p42n