近日,中移(杭州)信息技术有限公司(中国移动智慧家庭运营中心)申报的“基于全生命周期的软件供应链安全治理平台”入选由浙江省通信管理局组织评审的浙江省信息通信行业网络安全技术应用试点示范项目,这一荣誉充分展现了中国移动在软件供应链领域的强大实力和创新能力。
开源技术蓬勃发展,已成为数字化转型的核动力,为软件赋能经济高质量发展提供了基础底座。高速的发展也带来的巨大的安全隐患,主要体现在:开源软件安全性无保障,漏洞多;并且漏洞具有“攻击一点,伤及一片”问题;同时软件还存在知识产权风险。另外在党的二十大报告中强调“着力提升产业链供应链韧性和安全水平”。软件供应链安全风险不但会直接影响关键基础设施和数字经济安全,甚至会对国家安全产生威胁。
中国移动智慧家庭运营中心针对开源软件在企业内“理不清”、“看不见”、“找不到”等现象,自研守望者·清源平台,提供软件物料清单(SBOM)分析、安全漏洞和开源许可等检测功能。杭研通过标准规范、源头治理、过程治理、动态监测等方法,探索出开源软件从选型、使用、维护、退出全生命周期的治理实践。
本平台立足于软件供应链安全治理,基于自身数智化研发优势,结合产业发展现状,创新软件供应链安全治理模式,构建起“1234”金字塔形软件供应链安全治理体系。建设守望者数智化管理平台,实现对供应链软件成分透明化、可视化、动态化管理;坚持“技术创新为核心”,首创软件成分分离式识别技术、开源软件补丁定位技术,为软件供应链实现可信验证,安全治理提供核心基础;坚持制度人员及组织三层支撑,坚持四维复制拓展,层层完善制度,构建安全组织架构,实现安全治理体系有效落地。
