近日,中移(杭州)信息技術(shù)有限公司(中國移動智慧家庭運(yùn)營中心)申報的“基于全生命周期的軟件供應(yīng)鏈安全治理平臺”入選由浙江省通信管理局組織評審的浙江省信息通信行業(yè)網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點示范項目,這一榮譽(yù)充分展現(xiàn)了中國移動在軟件供應(yīng)鏈領(lǐng)域的強(qiáng)大實力和創(chuàng)新能力。
開源技術(shù)蓬勃發(fā)展,已成為數(shù)字化轉(zhuǎn)型的核動力,為軟件賦能經(jīng)濟(jì)高質(zhì)量發(fā)展提供了基礎(chǔ)底座。高速的發(fā)展也帶來的巨大的安全隱患,主要體現(xiàn)在:開源軟件安全性無保障,漏洞多;并且漏洞具有“攻擊一點,傷及一片”問題;同時軟件還存在知識產(chǎn)權(quán)風(fēng)險。另外在黨的二十大報告中強(qiáng)調(diào)“著力提升產(chǎn)業(yè)鏈供應(yīng)鏈韌性和安全水平”。軟件供應(yīng)鏈安全風(fēng)險不但會直接影響關(guān)鍵基礎(chǔ)設(shè)施和數(shù)字經(jīng)濟(jì)安全,甚至?xí)䦟野踩a(chǎn)生威脅。
中國移動智慧家庭運(yùn)營中心針對開源軟件在企業(yè)內(nèi)“理不清”、“看不見”、“找不到”等現(xiàn)象,自研守望者·清源平臺,提供軟件物料清單(SBOM)分析、安全漏洞和開源許可等檢測功能。杭研通過標(biāo)準(zhǔn)規(guī)范、源頭治理、過程治理、動態(tài)監(jiān)測等方法,探索出開源軟件從選型、使用、維護(hù)、退出全生命周期的治理實踐。
本平臺立足于軟件供應(yīng)鏈安全治理,基于自身數(shù)智化研發(fā)優(yōu)勢,結(jié)合產(chǎn)業(yè)發(fā)展現(xiàn)狀,創(chuàng)新軟件供應(yīng)鏈安全治理模式,構(gòu)建起“1234”金字塔形軟件供應(yīng)鏈安全治理體系。建設(shè)守望者數(shù)智化管理平臺,實現(xiàn)對供應(yīng)鏈軟件成分透明化、可視化、動態(tài)化管理;堅持“技術(shù)創(chuàng)新為核心”,首創(chuàng)軟件成分分離式識別技術(shù)、開源軟件補(bǔ)丁定位技術(shù),為軟件供應(yīng)鏈實現(xiàn)可信驗證,安全治理提供核心基礎(chǔ);堅持制度人員及組織三層支撐,堅持四維復(fù)制拓展,層層完善制度,構(gòu)建安全組織架構(gòu),實現(xiàn)安全治理體系有效落地。