中国信通院：应进一步提升开源安全水平

时间： 2023-12-27 02:01     

由中国信息通信研究院（以下简称中国信通院）主办的“2024中国信通院ICT深度观察——开源和软件供应链论坛”日前在京召开。中国信通院总工程师魏然表示，开源作为软件供应链的重要组成部分，凭借平等、开放、协作、共享的优秀创作模式，逐渐成为推动数字技术创新、加速传统行业转型升级、助力企业降本增效的重要引擎。当前，开源和软件供应链安全发展呈现三方面趋势特点，一是开源软件项目数量持续增长，开源技术覆盖领域加速扩张；二是开源安全问题凸显，威胁软件产品可用性和安全性；三是以开源为切入点，开展软件供应链安全治理成为业界常态。

据介绍，近年来，中国信通院通过产业研究、标准评估、咨询赋能、公共服务四大抓手推动国内开源和软件供应链安全产业发展。产业研究方面，中国信通院连续第六年发布开源生态白皮书，编制软件供应链安全全景洞察、开源合规指南等20余本研究报告；标准评估方面，搭建形成涵盖国标、行标、团标在内的三十余项开源和软件供应链安全标准体系；咨询赋能方面，构建覆盖培训、诊断、咨询、订阅、评估的全生命周期赋能体系，成功落地十余家企业案例；公共服务方面，成立金融、通信、汽车、科技制造等行业开源社区，软件供应链安全实验室、开源社区共同体、开源合规计划等生态联盟，从供给侧和应用侧双向推动开源和软件供应链安全生态圈建设。

在开源领域，中国信通院围绕“安全”、“合规”、“健康”、“可持续”的开源生态发展目标，在业内率先提出“可信开源”理念，目前已形成覆盖开源全生命周期的标准及评估体系，为推动开源技术的安全合规应用与发展提供重要参考。在安全领域，中国信通院面向安全供应侧和用户侧，建立“可信安全”品牌，从软件供应链安全、云安全、零信任、业务风控、安全保险多个领域，建立事前、事中、事后全链条安全体系。

中国信通院在本届论坛上发布了最新一批可信开源&可信安全系列评估结果，从开源治理、软件供应链安全、开源供应链、开源项目社区、云安全五个维度，建立一系列可信开源&可信安全标准体系，并落地评估测试，帮助企业降低软件使用风险，推动建立可信开源生态。

在“开源安全与软件供应链”专题论坛中，中国信通院云大所副所长栗蔚分享了《信息安全技术 软件产品开源代码安全评价方法》国标编制思路。该标准于2022年11月由中国信通院牵头立项，旨在给出开源代码安全评价体系，提高产业开源安全治理能力。标准以可控性、合规性、安全性、稳定性为目标，通过开源代码来源、开源代码质量、开源代码知识产权、开源代码管理4个维度建立安全评价指标体系，并且针对每条指标项给出详尽评价方法，提高标准的可操作性。

针对如何进一步提升开源安全水平，栗蔚建议，加强开源安全漏洞管理，及时更新开源代码版本降低运维成本；提升开源许可证合规性，关注开源许可证变化；加强开源安全团队管理，提升开源物料清单透明度；完善开源安全工具，实现自动化开源安全治理。（经济日报记者 黄鑫）