“基于全生命周期的軟件供應(yīng)鏈安全治理平臺”獲評2024年浙江省信息通信行業(yè)網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點示范項目

近日，中移（杭州）信息技術(shù)有限公司（中國移動智慧家庭運(yùn)營中心）申報的“基于全生命周期的軟件供應(yīng)鏈安全治理平臺”入選由浙江省通信管理局組織評審的浙江省信息通信行業(yè)網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點示范項目，這一榮譽(yù)充分展現(xiàn)了中國移動在軟件供應(yīng)鏈領(lǐng)域的強(qiáng)大實力和創(chuàng)新能力。

開源技術(shù)蓬勃發(fā)展，已成為數(shù)字化轉(zhuǎn)型的核動力，為軟件賦能經(jīng)濟(jì)高質(zhì)量發(fā)展提供了基礎(chǔ)底座。高速的發(fā)展也帶來的巨大的安全隱患，主要體現(xiàn)在：開源軟件安全性無保障，漏洞多；并且漏洞具有“攻擊一點，傷及一片”問題；同時軟件還存在知識產(chǎn)權(quán)風(fēng)險。另外在黨的二十大報告中強(qiáng)調(diào)“著力提升產(chǎn)業(yè)鏈供應(yīng)鏈韌性和安全水平”。軟件供應(yīng)鏈安全風(fēng)險不但會直接影響關(guān)鍵基礎(chǔ)設(shè)施和數(shù)字經(jīng)濟(jì)安全，甚至?xí)�對國家安全產(chǎn)生威脅。

中國移動智慧家庭運(yùn)營中心針對開源軟件在企業(yè)內(nèi)“理不清”、“看不見”、“找不到”等現(xiàn)象，自研守望者·清源平臺，提供軟件物料清單（SBOM）分析、安全漏洞和開源許可等檢測功能。杭研通過標(biāo)準(zhǔn)規(guī)范、源頭治理、過程治理、動態(tài)監(jiān)測等方法，探索出開源軟件從選型、使用、維護(hù)、退出全生命周期的治理實踐。

本平臺立足于軟件供應(yīng)鏈安全治理，基于自身數(shù)智化研發(fā)優(yōu)勢，結(jié)合產(chǎn)業(yè)發(fā)展現(xiàn)狀，創(chuàng)新軟件供應(yīng)鏈安全治理模式，構(gòu)建起“1234”金字塔形軟件供應(yīng)鏈安全治理體系。建設(shè)守望者數(shù)智化管理平臺，實現(xiàn)對供應(yīng)鏈軟件成分透明化、可視化、動態(tài)化管理；堅持“技術(shù)創(chuàng)新為核心”，首創(chuàng)軟件成分分離式識別技術(shù)、開源軟件補(bǔ)丁定位技術(shù)，為軟件供應(yīng)鏈實現(xiàn)可信驗證，安全治理提供核心基礎(chǔ)；堅持制度人員及組織三層支撐，堅持四維復(fù)制拓展，層層完善制度，構(gòu)建安全組織架構(gòu)，實現(xiàn)安全治理體系有效落地。