随着数字化转型进程的加快以及开源代码的广泛应用,开源凭借平等、开放、协作、共享的优秀创作模式,逐渐成为推动数字技术创新、加速传统行业转型升级的重要模式。但随着软件供应链日趋复杂多元,使得其安全风险不断加剧,针对软件供应链薄弱环节的攻击愈演愈烈,软件安全已成为影响数字安全的关键因素之一。
为帮助企业有效应对开源使用挑战,深入探讨如何提高开源技术应用能力并降低软件安全风险等问题,12月19日,由中国通信标准化协会主办、中国信息通信研究院(以下简称“中国信通院”)承办的2024开源和软件安全沙龙将正式举办。
本届沙龙将聚焦开源和软件安全最新发展趋势,邀请行业专家、企业负责人,就开源和软件安全相关问题展开深度探讨。沙龙期间,中国信通院还将重磅发布开源领域评估结果、软件供应链安全领域评估结果、云安全领域评估结果、地方开源体系建设实践洞察与路径模式等一系列最新成果,并围绕软开源、供应链安全、零信任、API治理等多维度发布典型应用案例和行业报告,全面展示中国信通院近期来在开源及软件供应链领域的研究、探索与实践。
亮点一:可信开源&可信安全系列评估结果重磅出炉 中国信通院围绕“安全”、“合规”、“健康”、“可持续”的开源生态发展目标,在业内率先提出“可信开源”理念,目前已形成覆盖开源全生命周期的标准及评估体系,为推动开源技术的安全合规应用与发展提供重要参考。
中国信通院面向安全供应侧和用户侧,建立“可信安全”品牌,从软件供应链安全、云安全、零信任、业务风控、安全保险多个领域,建立事前、事中、事后全链条安全体系。
作为沙龙的核心环节之一,中国信通院将从开源领域、软件供应链安全领域、云安全领域等维度展开,发布最新一批可信开源&可信安全系列评估结果。
亮点二:建立“云上数据安全责任共担”共识,发布并解读《企业云上数据安全》随着云计算技术的飞速发展,上云已成为企业推动业务发展与创新的关键路径。云上数据安全作为云安全的核心关注点之一,是企业保障数据资产、业务连续性与合规性的基础。随着越来越多的企业将核心业务数据迁移至云端,如何确保云上数据的安全已成为云服务客户关注的核心议题。
本次沙龙上,华为云与中国信通院将联合发布《企业云上数据安全》,将云上安全责任细化至数据层面,明确云服务客户与云服务商在云上数据安全方面的责任。报告首先分析了推动企业上云的外部政策与内部需求,以及上云企业面临的多样化安全风险。其次,全面探讨了建立企业云上数据安全责任共担机制的必要性,并提出云上数据安全责任共担三大关键环节:一是云服务商夯实云平台的数据安全保障,云服务客户安全地使用云平台。二是强化云服务商云上数据保护服务供给能力,支撑云服务客户实现云上数据的安全运营。三是在云上数据安全责任主体间建立信任。最后,展望云上数据安全的发展,力求为企业云上数据安全保护提供重要参考。
亮点三:聚焦行业优秀实践,发布“软件物料清单(SBOM)典型案例”数字经济时代,软件成为生产生活的必备要素。软件物料清单是软件的“成分表”,内容涵了盖软件使用的组件,以及组件间的包含、依赖关系等。软件物料清单通过明确识别和详细记录软件组件及其相互关系以提升软件透明度,成为软件供应链安全治理的重要抓手。
而整体来看,软件物料清单还属于一种新兴技术。为指导软件物料清单在我国高质量落地实践,提高我国相关企业的核心竞争力,中国信通院此次发布软件物料清单(SBOM)典型案例,为有效推动企业展开落地实践提供了重要参考依据。
亮点四:剖析技术行业应用,多维度领域行业报告发布(1)《开源办公室(OSPO)洞察报告(2024年)》随着开源已成为全球企业的流行趋势,企业应用开源程度稳步提升,但对开源的规范和管理仍亟需提升。通过建立开源办公室(OSPO),管理企业开源的相关活动,成为企业管理开源的主要手段。通过建立一套成熟的方法论协调企业开展对内对外开源工作,为企业内部开发人员和贡献社区的外部参与者创造积极的体验,并从组织上提供一系列支持与保障。
在此背景下,中国信通院云计算开源产业联盟编制《开源办公室(OSPO)洞察报告(2024年)》,旨在从发展背景、职责结构、应用成效等方面出发,在发展路径、长远定位、组织架构、日常工作、对内对外成效、发展倡议等维度阐述全球与我国 OSPO 的发展现状和趋势,展示全球企业在OSPO建设中的先进经验,为我国企业建设OSPO提供良好经验,推动我国企业 OSPO 迈向新发展阶段。
(2)《软件供应链安全发展洞察报告(2024)》近年来,全球针对软件供应链的安全事件频发,影响巨大,软件供应链安全已然成为一个全球性问题。软件供应链安全治理通过明确供需双方安全管理核心要素,构建可信安全生态,强化软件供给水平和应用效能,助力软件产业健康持续发展。
为此,中国信通院编写《软件供应链安全发展洞察报告(2024)》,旨在梳理全球软件供应链安全治理发展现状,并针对软件自身和软件供应链相关活动,搭建软件供应治理体系,助力企业提升软件供应链安全建设能力。
(3)持续跟踪零信任产业发展,发布《零信任发展洞察报告(2024)》 中国信通院云大所持续跟踪零信任发展历程,自2021年陆续发布两本院级研究报告:《数字化时代零信任安全蓝皮报告》 和《零信任发展研究报告(2023年)》 ,两本年度洞察报告:《零信任发展与评估洞察报告(2021年)》和《零信任发展洞察报告(2022年)》
2024年将继续发布《零信任发展洞察报告(2024年)》,报告首先阐述了零信任应用正在跨越认知与实践的鸿沟,用户逐渐认识零信任在应对安全挑战中的重要性。然后,深入分析了零信任供应侧的发展情况,包括部署方式、产品能力、解决方案形态等方面的现状与趋势。其次,报告聚焦零信任应用侧企业的访谈结果,从落地前、中、 后三个阶段探讨应用侧企业在实施零信任过程中的感受与经验。最后,报告展望我国零信任技术的未来发展,提出从技术、标准、产业合作等多个维度促进零信任技术健康有序发展的建议。
(4)《API治理应用态势发展报告(2024)》随着企业数字化转型的加速,API总规模不断增长,随之而来的安全性、稳定性和性能等问题日益突出。如何高效管理企业内部的AI资产,减轻其安全风险,实现价值最大化,成为了企业面临的严峻挑战。
为此,中国信通院撰写了《API治理应用态势发展报告(2024)》,旨在通过深入分析各行业企业在API治理中的具体举措,总结最佳实践,系统梳理了API治理应用的发展现状与未来展望,旨在为企业提供有价值的治理指南,助力企业更好地应对API风险挑战,提升数字化业务的质量和效率。
亮点五:分享开源体系实践洞察,深入探讨地方开源建设路径模式 为进一步贯彻国家战略规划、推进各地方开源体系建设工作,会议期间,中国信通院将进行地方开源体系建设实践洞察与路径模式主题分享。分享将阐明开源的特点,分析开源在新质生产力、新型工业化及我国经济社会发展中的重要作用,从我国制度、人才、科技、场景、市场、资源六大优势出发,归纳地方政府开源体系建设的四大着力点,并总结当前各省市围绕四大着力点推进开源事业发展的四种主要实践模式,以期为各地发展开源提供思路借鉴。
亮点六:软件供应链安全与零信任实验室授牌、网络安全保险标准应用工程启动……更多看点等待揭幕作为本届沙龙的重要环节之一,中国信通院将为3S-Lab软件供应链安全与零信任实验室新一批成员单位举行授牌仪式。面向软件供应链安全、零信任等细分领域,中国信通院整合行业龙头企业的专业力量,联动下游企业,开展供应侧与应用侧双侧需求调研与技术研究、推动行业相关标准落地、开展测试评估,搭建合作桥梁,引领软件供应链安全和零信任产业健康有序发展。
同时,中国信通院联合业内专家及多家保险公司共同制定了《网络安全保险风险评估规范》,旨在为网络安全保险领域提供一套科学合理且可操作性强的风险评估体系。并于沙龙正式启动标准应用工程,鼓励各方参与者交流经验、反馈问题,共同推动标准的不断完善和发展,为网络安全保险市场的可持续发展提供有力的标准和规范支撑。目前,沙龙已正式进入启动阶段,诚邀行业专家、产业精英届时莅临指导,共同推进我国开源产业、软件安全产业高质量发展。
