随着数字化转型进程的加快以及开源代码的广泛应用,开源软件在数据中心、终端设备和应用程序中无处不在。软件供应链日趋复杂多元,使得其安全风险不断加剧,针对软件供应链薄弱环节的攻击愈演愈烈,软件供应链安全已成为影响软件安全的关键因素之一。
本届论坛将聚焦开源和软件供应链最新发展趋势,邀请领域专家、负责人,就开源和软件供应链相关问题展开深度探讨。论坛期间,中国信通院还将重磅发布开源领域评估结果、软件供应链安全领域评估结果、云安全领域评估结果、TSM可信研发运营安全能力成熟度模型、证券期货业开源技术研究课题、软件供应链安全和软件物料清单调研问卷结果分析等一系列最新成果,并围绕开源大模型、开源创新发展、API治理等多维度发布典型应用案例,发布开源安全、云安全多个领域相关白皮书,全面展示中国信通院近期来在开源及软件供应链领域的研究、探索与实践。
中国信通院面向安全供应侧和用户侧,建立“可信安全”品牌,从软件供应链安全、云安全、零信任、业务风控、安全保险多个领域,建立事前、事中、事后全链条安全体系。
作为论坛的核心环节之一,中国信通院将从开源治理、软件供应链安全、开源项目社区、云安全等维度展开,发布最新一批可信开源&可信安全系列评估结果。
此外,在本届论坛上还将深度解读《开源安全研究报告》,聚焦过去一年开源安全发展的新变化。报告介绍了数字化转型时代开源的重要地位、开源当前主要的安全问题类型及影响,以全球视角出发,分别从政策、组织和企业实践经验三方面观察当前主要的开源安全防范措施。其次,报告从开源安全基础设施洞察国内外开源安全发展现状,同时调研重点行业开源安全治理水平,并对我国开源安全治理进行展望。
近年来,以Log4j、SolarWinds为代表的软件供应链安全事件频发,且仍有指数级增长趋势,引起业界高度关注。数字化时代,软件已成为维持日常生产生活正常运行的必备要素之一,与企业利益、公共利益密切相关。建设软件供应链安全管理体系,开展软件供应链安全治理工作成为企业共同诉求。为深入了解各行各业在推进软件供应链安全治理工作和建设软件物料清单体系中面临的痛点和挑战,中国信通院联合业界头部企业代表,开展2023年软件供应链安全和软件物料清单调研问卷工作。本届论坛期间,中国信通院将权威解读分享《软件供应链安全&软件物料清单调研问卷》结果,从企业用户视角,为未来国内软件供应链安全治理和软件物料清单建设提供参考指引和新思路。
(2)《TSM可信研发运营安全能力成熟度模型报告》
“安全左移”理念已诞生多年,安全左移强调进行安全早期介入,贯穿软件服务全生命周期,一方面将实现风险安全可控,做到风险漏洞早发现、早修复,降低成本,提高收益;另一方面将反向推动帮助企业建立安全文化,提升研发、运营、安全团队协作意识。中国信通院自2019年起,牵头推进《可信研发运营安全能力成熟度模型》行业标准,并依据标准开展评估测试,目前已有包括金融、汽车、互联网、运营商、软件厂商、安全厂商在内的30余家企业通过评估。本次测评团队分析评估细节,整理形成《TSM可信研发运营安全能力成熟度模型报告》,旨在绘制TSM整体水位图,为企业提供参考,同时帮助企业对标业界最佳实践,探索构筑符合企业自身情况的全生命周期安全体系,提升企业自身市场竞争力,将自身安全水平进行量化,明确后续改进方向和实施计划。
(3)《云远程连接安全实践指南》
随着企业数字化转型进程加速,企业上云用云走深向实,云远程运维、云远程交付、云数据同步等云远程访问场景的需求增多,作为重要的依托技术,云远程连接正逐渐成为云远程访问的核心。而云远程连接面临网络安全边界不可控、连接透明度不高等挑战。在此背景下,华为云计算技术有限公司与中国信通院云大所共同编写《云远程连接安全实践指南》,提出安全远程连接模型、剖析其安全设计原则和关键技术方案,旨在保障云远程连接过程安全事前可控、事中可视和事后可审,解决云用户对远程连接的安全担忧。
随着开源技术占据各大新兴领域的技术路线,其不断丰富人工智能领域的应用场景。今年,Meta相继发布Llama和Llama2,很快成为广受欢迎的开源大模型,也成为许多模型的基座模型。开源大模型可以促进技术的共享和交流,加速人工智能的发展,但也存在数据隐私安全风险、许可协议尚未形成共识、产业生态不健全、商业模式不清晰等问题。为进一步引导开源大模型产业规范发展,中国信通院云计算开源产业联盟编制《可信开源大模型案例汇编(第一期)》案例,旨在洞察开源人工智能大模型应用场景,梳理开源人工智能大模型的开源成熟度,提升开源人工智能大模型的创新发展。此案例汇编将在本届论坛期间正式发布,通过调研国内开源大模型的技术细节、应用场景、商业模式、应用治理、发展趋势等,并关注开源大模型技术生态及产业链上下游,全面展现开源大模型及其工具链的发展全貌,为下一代技术浪潮的发展助力。
(2)《API治理应用案例汇编(2023)》
随着云计算和大数据的飞速发展,API已成为企业数字化转型的重要抓手,企业将越来越多的数据和应用迁移至云端,API也正成为企业成功数字化转型的战略重点之一。为了引导API安全治理工作向好发展,中国信通院云计算开源产业联盟启动《API治理应用案例汇编(2023)》编纂工作,并将在此次论坛正式发布。案例集共包括三方面内容,分别是API治理现状分析、API治理体系建设思路,以及API治理优秀案例汇编。通过向行业展示一批成熟度高、具有示范作用的优秀API安全治理案例,助力行业积极应对不断出现的API安全治理难题,提升企业API安全治理能力,以具有标杆示范意义的优秀案例和行业应用推动API治理技术持续深入发展。
(3)《“源生万态”——中国通信行业开源创新发展案例集》
数字化时代,全球数字经济是开放和紧密相连的整体,经验与知识体系的构建面临海量数据和场景提取。开源能够集众智、采众长,加速软件迭代升级,促进产用协同创新,推动产业生态完善,已成为全球软件技术和产业创新的主导模式。随着开源技术的发展和应用,安全和合规问题等风险挑战愈发突出。为进一步规范通信行业开源使用,中国通信学会开源技术委员会、中国信通院云计算开源产业联盟、“科创中国”开源创新联合体联合发起《“源生万态”——中国通信行业开源创新发展案例集》编纂工作,并在此次论坛正式发布。案例集分为通信行业开源技术应用、通信行业对外开源项目和通信行业企业开源治理三个部分。案例集旨在融合汇聚行业力量,梳理通信行业开源发展趋势,以产业化为导向,展现具有先进性、引领性、示范性的通信行业开源案例,推动行业开源生态持续繁荣发展。
