飞象网讯 8月10日,2023 数字供应链安全大会(DSS 2023)在北京·国家会议中心隆重举办。大会由悬镜安全主办,ISC互联网安全大会组委会、中国软件评测中心(工业和信息化部软件与集成电路促进中心)、中国信息通信研究院云计算与大数据研究所、CCF计算机安全专业委员会、北京信息化协会信息技术应用创新工作委员会、OpenChain联合发起,OpenSCA开源社区、XRASP代码疫苗社区协办。
DSS 2023以“开源的力量”为主题,联合众多产业专家智囊、资深研究学者、开源意见领袖和行业头部用户共同擘画开源驱动下数字供应链安全生态发展新蓝图。
北京赛博英杰科技有限公司董事长、正奇学院院长谭晓生作为大会主持人。指出,数字时代,数字应用开发过程中越来越依赖开源以及第三方组件,由开源以及第三方组件的脆弱性所带来的威胁也愈发严重,数字供应链安全已成为当今网络安全的热点之一。
谭晓生 北京赛博英杰科技有限公司董事长、正奇学院院长
OpenAI及其ChatGPT项目的成功又一次证明了开源的力量,北京大学计算机学院网络与安全实验室主任陈钟在致辞中表示,开源将引领未来包括人工智能创新在内的数字经济发展。在国内,特别是在信创领域,绝大多数的软件和硬件都是依托于开源的力量来构建未来发展的基石。而数字供应链安全技术、工具、方法方面的突破,能保障信息技术应用创新产业安全可靠,进而服务于经济社会的发展。
陈 钟 北京大学计算机学院网络与安全实验室主任
信创产业发展已成为国家网络安全战略的重要组成部分,北京信息化协会信息技术应用创新工作委员会秘书长毛新然在致辞中指出,为推动信息技术应用创新产业发展,需要政产学研用协同,汇聚数字供应链生态上下游的力量,共同构建一个安全可信赖的数字供应链安全体系,来应对日益增长的数字供应链安全威胁。
毛新然 北京信息化协会信息技术应用创新工作委员会秘书长
开源安全作为一项持续推进的工作,需要社会各界广泛关注,开放原子开源基金会副秘书长辛晓华在致辞中表示,开源在发展过程中面临安全问题,为建立安全防护能力,护航开源生态可持续发展,各相关单位应携手为开源项目提供应有的支撑,建机制、立标准、强能力、拓合作、铸底线,共同构筑国家安全的开源生态。
辛晓华 开放原子开源基金会副秘书长
开源供应链是数字供应链范畴中极其重要的部分,中国工程院院士倪光南以《夯实开源软件供应链安全基础设施》为题发表演讲,明确表示发展开源是中国融入世界科技创新网络的重要途径,然而当前国际形势动荡,由于大多数主流开源基金会和开源项目由国外主导,使得停服、断供、脱钩以及其他安全问题时有发生,开源供应链也在不同程度上受到了冲击。开源供应链安全是当前发展开源的核心关键,应当给予高度重视并逐步落实,包括对开源来源、合规性等进行分析,对漏洞风险进行管控,对断供、停服风险进行预警等。
倪光南 中国工程院院士
如何定义数字供应链安全?悬镜安全创始人兼CEO、DSS大会执行主席子芽发表《开源的力量》大会主旨演讲,他指出数字时代,随着信息技术的发展,包括新技术(数字技术)、新发布(开发方式)、新架构(应用构架)、新环境(基础设施)的变化,已促进供应链产生跃迁式变化,传统软件供应链的内涵需扩大为数字供应链,需要将数字应用、基础设施服务、供应链数据统一规划到供应链当中,这是业内首次明确数字供应链的组成。基于此,数字应用安全、基础设施服务安全、供应链数据安全即成为数字供应链安全的重点内容。
子芽 悬镜安全创始人兼CEO、DSS大会执行主席
开源的本质是群智创新和共生进化。子芽在演讲中再次强调了开源的重要性,并且着重指出面对充满不确定性的未来,开源将是数字供应链发展的力量源泉,其安全性需要得到保障。悬镜安全革命性推出“用开源的方式做开源风险治理”理念,将自身掌握的源码SCA、二进制SCA、运行时SCA这三项关键SCA技术开源,打造OpenSCA开源社区,并基于此,从代码疫苗补丁防御、开源威胁情报、全链路SBOM追踪以及社区生态共建四个方向,赋能企业用户从源头保障开源数字供应链安全。
在大会发布仪式上,悬镜安全正式对外公布了中国首个数字供应链SBOM格式——DSDX(Digital Supply-chain Data Exchange )。DSDX由OpenSCA社区主导发起,汇聚开源中国、电信研究院、中兴通讯等甲方用户SBOM落地实践经验与安全厂商技术应用视角,针对性适配中国企业实战化应用场景。其目标是成为数字供应链安全治理与运营的核心技术抓手,以助力行业将软件供应安全升级为数字供应链安全。
此外,悬镜安全还联合中国电信研究院、ISC互联网安全大会发布了《数字供应链安全白皮书(2023)》。该白皮书是继《软件供应链安全白皮书(2021)》《软件供应链安全治理与运营白皮书(2022)》后,悬镜安全将软件供应链安全概念升级,发布的国内第一个数字供应链安全相关报告。
在DSS 2023大会上,来自“政产学研用”各界的专家智囊、研究学者、行业领袖齐聚,就数字供应链风险挑战、技术创新、安全实践、生态建设等维度带来精彩纷呈的主题演讲。
蚂蚁集团网络安全副总经理程岩聚焦软件供应链安全,分析了当下软件供应链安全风险现状,分享了蚂蚁集团在软件供应链安全生态构建方面的三大关键阶段,以及关于软件供应链风险治理的思路和具体实践。
程 岩 蚂蚁集团网络安全副总经理
中信建投证券技术部技术总监张建军立足证券行业,阐述了行业特点和由其面临的数字供应链安全问题,分享了中信建投证券在开发、测试、运维等环节对应的安全工作和技术抓手以及整个供应链安全治理体系。
张建军 中信建投证券技术部技术总监
中国电信研究院安全技术研究所所长何国锋重点介绍了用高可信安全架构解决数字化时代安全问题,强调了软件安全中心作为高可信安全体系重要组成部分对于数字供应链安全保障的重要性,并分享了中国电信的相关实践。
何国锋 中国电信研究院安全技术研究所所长
中国信息通信研究院云计算与大数据研究所所长何宝宏指出数字经济时代软件供应链安全体系建设工作需要基于“三大环节、五大模块”开展,并呼吁上下游机构组织、企业以技术突破为核心,打造可信安全的供应链生态。
何宝宏 中国信息通信研究院云计算与大数据研究所所长
中国软件评测中心信发事业部主任翟艳芬重点分享了软件供应链安全能力成熟度评估模型以及供应链中的需求方、供应方和第三方机构如何通过评估模型分析目标的软件供应链安全现状,提高其软件供应链安全能力。
翟艳芬 中国软件评测中心信发事业部主任
平安壹钱包信息安全运营负责人汪永辉基于多年安全工作经验,从开源组件安全痛点出发,提出了建立事前、事中、事后管理体系,加强外部开源引入的管控和拦截的实践理念,并分享了如何在企业内部推动安全工作顺利落地。
汪永辉 平安壹钱包信息安全运营负责人
中国电子技术标准化研究院云计算研究室主任杨丽蕴聚焦数字供应链安全标准化工作,通过分析比较国外成熟经验,指出从SBOM出发,研制适合我国的软件物料清单数据格式标准的重要性。
杨丽蕴 中国电子技术标准化研究院云计算研究室主任
华为云产业战略官、华为可信供应链组长张锐刚介绍了开源治理面临的产业挑战,分享了华为云软件工程可信体系在开源治理方面的落地实践,帮助有效治理开源软件资产、不断提升对产业社区开源贡献等。
张锐刚 华为云产业战略官、华为可信供应链组长
中国软件评测中心安全事业部副总经理秦晓磊从开源软件漏洞实例切入,强调开源软件漏洞的识别与修复可以有效地降低移动APP的开源安全风险,并详细介绍了如何识别移动APP中的开源软件并采取有效的风险管理策略。
秦晓磊 中国软件评测中心安全事业部副总经理
某车联网云服务提供商信息安全负责人孙权指出,在车联网供应链安全体系中,数据安全面临严重风险却往往被忽视,需要从车的构造、国家的法规、人为因素角度综合思考,提升行业数据安全意识。
孙 权 某车联网云服务提供商信息安全负责人
中兴通讯股份有限公司开源合规&安全治理总监项曙明认为,开源引入对数字供应链造成冲击,为此,他分享了一系列数字供应链开源治理的战略战术以及从“三个线路”建立开源软件数字供应链安全机制。
项曙明 中兴通讯股份有限公司开源合规&安全治理总监
悬镜安全COO董毅解读了刚刚发布的《数字供应链安全白皮书(2023)》,他指出,白皮书详细定义了数字供应链安全新概念,分析了数字供应链安全风险现状,分享了数字供应链安全体系建设、实践落地新思路和新方案,是企业组织进行数字供应链安全保障工作的指南。
董 毅 悬镜安全COO
随后,在由谭晓生主持的“高端圆桌论坛”上,围绕“构建数字供应链安全产业创新发展新生态”主题,中国计算机学会计算机安全专业委员会荣誉主任、公安部一所和三所原所长严明、北京大学计算机学院网络与信息安全实验室主任陈钟、开源中国CTO红薯、赛迪赛迪顾问股份有限公司业务总经理高丹、东方通首席科学家谢耘、悬镜安全CTO宁戈分享了各自的观点。
未来,DSS大会将继续携手数字供应链生态上下游的机构组织和企业,持续守护中国数字供应链安全。