奇安信總裁吳云坤：構建四大關鍵能力體系化治理軟件供應鏈安全

2月16日，在首屆ICT軟件供應鏈安全治理論壇上，奇安信集團總裁吳云坤表示，軟件供應鏈系統生命周期的各個環節都可能存在供應鏈安全風險，需要用系統工程方法體系化、全局性治理。

供應鏈安全體系化管理需重視四大關鍵點

國際對抗升級疊加數字化轉型，供應鏈安全成重要挑戰。一方面，軟件供應鏈風險存在于應用系統的全生命周期，已成為網絡攻擊的主要目標；另一方面，近年來的軟件供應鏈安全事件頻發，波及范圍和影響程度也越來越大。對此，吳云坤指出，軟件供應鏈安全需要用系統工程方法體系化、全局性治理，從組織、流程制度、場景、能力四個層面出發，抓好四個關鍵點。

一是明確軟件供應鏈安全管理控制點，針對軟件供應鏈全生命周期的安全風險，在不同階段做好不同階段的安全設計、建設和運行管理，確保安全覆蓋軟件全生命周期；二是完善軟件供應鏈安全管理的組織建設，這是軟件供應鏈安全成功的保障，需要全員參與、分工明確、責任到位；三是健全軟件供應鏈安全管理工作內容與制度建設，要將技術方案與管理辦法深度結合；四是做好軟件供應鏈安全能力的設計。

軟件供應鏈安全全生命周期的四項關鍵能力

在技術方面，吳云坤表示，軟件供應鏈安全的技術能力建設必須涵蓋開發生產、集成交付、使用運行各階段，并指出了四項關鍵能力。

首先，建設開發安全能力。可通過奇安信代碼衛士等第三方代碼安全解決方案，幫助企業以最小代價建立代碼安全保障體系并落地實施。

其次，建設開源安全能力。可借助奇安信開源衛士等專業系統，實現開源軟件資產識別、開源軟件安全風險分析、開源軟件漏洞告警及開源軟件安全管理等功能，降低由開源軟件帶來的安全風險，保障企業交付更安全的軟件。

第三，建設安全部署、運行能力。奇安信天問系統就是專門面向軟件供應鏈安全領域的分析平臺，可為高危漏洞影響范圍評估、終端軟件安全管控、后門植入事件主動發現、信創軟件安全性測評等一系列軟件供應鏈安全分析相關工作提供支撐。

第四，建設自動化滲透測試能力，持續探測生產環境、開發環境的信息安全漏洞。

在北京冬奧會網絡安全服務中，奇安信就通過建立自動化安全檢測機制，覆蓋跨站腳本、代碼注入、API誤用、密碼管理、配置管理、危險函數、異常處理、資源管理、代碼質量、緩沖溢出等對冬奧業務威脅較大的代碼問題，對冬奧業務系統的代碼安全性檢測，發現問題及時處置，從而確保了北京冬奧會“業務不中斷、數據不出事、合規不踩線”的零事故運行。

深耕軟件供應鏈安全 奇安信獲多項榮譽

科技自立自強，需要強健的軟件供應鏈安全做保障。吳云坤介紹，目前，由重慶市委網信辦領導，由璧山區政府和奇安信集團共同建設的全國首個軟件供應鏈安全檢測中心已落地重慶，面向機構和企業從源代碼層面評估軟件自身安全風險，并提供代碼安全整改建議，最大化降低軟件供應鏈上游環節問題給整個數字化業務帶來的風險。

憑借多年的技術積累和產品創新，奇安信軟件供應鏈的產品和服務能力獲得了行業的充分肯定。在頒獎環節，奇安信獲得多項榮譽:奇安信集團獲“信息通信軟件供應鏈安全社區優秀會員單位”榮譽，奇安信“基于軟件成分分析的開源軟件安全治理平臺”獲自主創新研發成果獎，奇安信發布的《2022中國軟件供應鏈安全分析報告》獲“科學研究文獻成果獎”，奇安信安全專家童小剛、董國偉、蘇砫三人獲“社區年度優秀專家”榮譽。

據悉，信息通信軟件供應鏈安全社區是在工業和信息化部網絡安全管理局指導下，由中國信息通信研究院、中國電信集團有限公司、中國移動通信集團有限公司、中國聯合網絡通信集團有限公司、中國鐵塔股份有限公司、奇安信科技集團股份有限公司共同發起籌建，致力于軟件供給過程的安全生態建設，為產業鏈、供應鏈各相關方等提供研討、研發、協作、共治的平臺。