ICT深度觀察——開源和軟件供應鏈論壇正式舉行

2023年12月21日,由中國信息通信研究院(以下簡稱“中國信通院”)主辦的“2024中國信通院ICT深度觀察——開源和軟件供應鏈論壇”在京召開。本屆論壇聚焦開源和軟件供應鏈最新發展趨勢,圍繞開源技術應用能力、軟件供應鏈安全風險等議題開展深入探討,全面展示中國信通院在開源及軟件供應鏈領域的研究、探索與實踐。中國信通院總工程師魏然發表致辭,中國信通院雲大所副所長慄蔚等出席會議並進行主題分享。

中國信通院總工程師魏然致辭

魏總表示,開源作爲軟件供應鏈的重要組成部分,憑藉平等、開放、協作、共享的優秀創作模式,逐漸成爲推動數字技術創新、加速傳統行業轉型升級、助力企業降本增效的重要引擎。當前,開源和軟件供應鏈安全發展呈現以下三方面趨勢特點:一是開源軟件項目數量持續增長,開源技術覆蓋領域加速擴張;二是開源安全問題凸顯,威脅軟件產品可用性和安全性;三是以開源爲切入點,開展軟件供應鏈安全治理成爲業界常態。

近年來,中國信通院通過產業研究、標準評估、諮詢賦能、公共服務四大抓手推動國內開源和軟件供應鏈安全產業發展。產業研究方面,中國信通院連續第六年發佈開源生態白皮書,編制軟件供應鏈安全全景洞察、開源合規指南等20餘本研究報告;標準評估方面,搭建形成涵蓋國標、行標、團標在內的三十餘項開源和軟件供應鏈安全標準體系;諮詢賦能方面,構建覆蓋培訓、診斷、諮詢、訂閱、評估的全生命週期賦能體系,成功落地十餘家企業案例;公共服務方面,成立金融、通信、汽車、科技製造等行業開源社區,軟件供應鏈安全實驗室、開源社區共同體、開源合規計劃等生態聯盟,從供給側和應用側雙向推動開源和軟件供應鏈安全生態圈建設。

(圖:可信開源&可信安全系列評估結果發佈)

可信開源系列評估結果

可信安全系列評估結果

在開源領域,中國信通院圍繞“安全”、“合規”、“健康”、“可持續”的開源生態發展目標,在業內率先提出“可信開源”理念,目前已形成覆蓋開源全生命週期的標準及評估體系,爲推動開源技術的安全合規應用與發展提供重要參考。在安全領域,中國信通院面向安全供應側和用戶側,建立“可信安全”品牌,從軟件供應鏈安全、雲安全、零信任、業務風控、安全保險多個領域,建立事前、事中、事後全鏈條安全體系。

作爲論壇的核心環節之一,中國信通院在本屆論壇發佈最新一批可信開源&可信安全系列評估結果,從開源治理、軟件供應鏈安全、開源供應鏈、開源項目社區、雲安全五個維度,建立一系列可信開源&可信安全標準體系,並落地評估測試,幫助企業降低軟件使用風險,推動建立可信開源生態。

(圖:中國信通院雲大所副所長慄蔚解讀)

在“開源安全與軟件供應鏈”專題論壇中,中國信通院雲大所副所長慄蔚分享《信息安全技術 軟件產品開源代碼安全評價方法》國標編制思路。該標準於2022年11月由中國信通院牽頭立項,旨在給出開源代碼安全評價體系,提高產業開源安全治理能力。標準以可控性、合規性、安全性、穩定性爲目標,通過開源代碼來源、開源代碼質量、開源代碼知識產權、開源代碼管理4個維度建立安全評價指標體系,並且針對每條指標項給出詳盡評價方法,提高標準的可操作性。針對如何進一步提升開源安全水平,慄蔚給出了四點建議:一是加強開源安全漏洞管理,及時更新開源代碼版本降低運維成本;二是提升開源許可證合規性,關注開源許可證變化;三是加強開源安全團隊管理,提升開源物料清單透明度;四是完善開源安全工具,實現自動化開源安全治理。

(圖:中國信通院雲大所副所長慄蔚參加合作儀式)

在可信研發運營安全領域,中國信通院圍繞軟件全生命週期,梳理關鍵要素,開展《可信研發運營安全能力成熟度模型》標準制定,並以標準爲依託構建測試評估體系,探索產研合作模式。在此背景下,中國信通院雲大所與華爲技術有限公司基於TSM可信研發運營安全能力成熟度開展深度合作,現已通過試點評估初步建立成熟合作模式,使之成爲華爲可信供應商的准入門檻之一。

(圖:中國信通院雲大所副所長慄蔚參加發佈儀式)

隨着企業數字化轉型進程加速,企業上雲用雲走深向實,雲遠程運維、雲遠程交付、雲數據同步等雲遠程訪問場景的需求增多,作爲重要的依託技術,雲遠程連接正逐漸成爲雲遠程訪問的核心。而云遠程連接面臨網絡安全邊界不可控、連接透明度不高等挑戰。在此背景下,華爲雲計算技術有限公司與中國信通院雲大所共同編寫《雲遠程連接安全實踐指南》,提出安全遠程連接模型、剖析其安全設計原則和關鍵技術方案,旨在保障雲遠程連接過程安全事前可控、事中可視和事後可審,解決雲用戶對遠程連接的安全擔憂。

(圖:中國信通院雲大所開源和軟件安全部主任郭雪解讀)

爲深入瞭解國內軟件供應鏈安全和軟件物料清單工作痛點,中國信通院聯合業界頭部企業,開展可信軟件供應鏈安全和軟件物料清單問卷調研工作。論壇期間,中國信通院雲大所開源和軟件安全部主任郭雪對《軟件供應鏈安全&軟件物料清單調研問卷》結果進行了全面解讀。郭雪表示軟件供應鏈安全已成爲業界關注焦點,軟件物料清單作爲軟件供應鏈安全治理重要抓手備受矚目。企業建立以開源軟件、商採軟件爲核心的全生命週期軟件供應鏈安全管理體系,明確軟件物料清單數據格式規範,開展軟件供應鏈安全資產管理工作將是下一步工作重點。

同時,郭雪圍繞“TSM可信研發運營安全能力成熟度水位圖”進行深度解讀。TSM可信研運安全能力成熟度強調安全前置,覆蓋應用服務全生命週期安全,TSM水位圖要素分爲五大領域十七類子項,旨在助力企業明確研發運營安全現狀,完善改進計劃。未來相關團隊將從完善TSM評估細節、優化報告內容、豐富行業數據、建立用戶反饋機制四方面完善TSM可信研發運營安全能力成熟度水位圖工作。

(圖:中國信通院雲大所開源和軟件安全部副主任衛斌發佈+解讀)

雲計算和大數據的飛速發展導致了API爆發式增長,然而,攻擊者也針對其開放性和普遍性的特質展開威脅和攻擊,導致重大的安全隱患和數據泄露風險。爲了應對層出不窮的新型攻擊手段和各類安全挑戰,企業亟需對API進行統一治理。在此背景下,中國信息通信研究院雲計算開源產業聯盟編寫了《API治理應用案例彙編(2023)》。

本次會議隆重發布了《API治理應用案例彙編(2023)》,共有22個跨越金融、通信、能源、軟件和信息服務等多個行業的優秀案例被收錄其中。該案例集聚焦API治理實踐經驗,從需求分析、API治理具體方案、應用成效等方面出發彙集我國企業目前API治理應用的優秀實踐案例。 中國信通院雲大所開源和軟件安全部副主任衛斌對案例集進行解讀。

(圖:中國“開源之聲”編寫啓動儀式)

在“開源生態”專題論壇環節,中國信通院雲大所正式啓動《開源之聲》編寫工作,該書是開源從業者智慧和經驗的精華總結,彙集來自不同的研究、工程領域作者所著開源書籍,涉及方向包括開源模式對於軟件工程的促進、所有權制度與國際公約、技術架構與項目共同體、文化的繼承與發揚等各個方面,爲開源從業者提供一本兼具理論指導與實踐價值的開源“百科全書”,爲行業高質量發展貢獻力量。

(圖:中國信通院雲大所開源和軟件安全部高級業務主管張一陽發佈+解讀)

爲進一步引導開源大模型產業規範發展,本次會議正式發佈《可信開源大模型案例彙編(第一期)》案例,旨在洞察開源人工智能大模型應用場景,梳理開源人工智能大模型的開源成熟度,提升開源人工智能大模型的創新發展。中國信通院雲大所開源和軟件安全部高級業務主管張一陽就《可信開源大模型案例彙編(第一期)》進行解讀。通過調研國內開源大模型的技術細節、應用場景、商業模式、應用治理、發展趨勢等,關注開源大模型技術生態及產業鏈上下游,全面展現開源大模型及其工具鏈的發展全貌。此外,通過分析入選本次案例的開源大模型行業實踐,爲我國大模型產業發展提供路徑參考。

(圖:中國信通院雲大所開源和軟件安全部副主任武倩聿解讀)

2021年10月,中國人民銀行等五部委聯合發佈《關於規範金融業開源技術應用與發展的意見》,爲金融機構開展開源治理工作指明瞭方向。爲貫徹落實意見要求,中國信通院作爲牽頭單位,聯合華泰證券、國泰君安證券、西南證券、易方達基金四家機構,共同承擔證標委標準研究課題《證券期貨業開源技術應用與風險管理指南研究》。經證標委批准,該課題被評爲2023年度優秀課題。會上,中國信通院雲大所開源和軟件安全部副主任武倩聿對《證券期貨業開源風險管理能力成熟度模型》等課題成果進行解讀,並分享了部分證券機構的開源治理實踐經驗。

(圖:中國信通院雲大所開源和軟件安全部業務主管賈宇塵發佈+解讀)

爲進一步規範通信行業開源使用,中國通信學會開源技術委員會、中國信通院雲計算開源產業聯盟、“科創中國” 開源產業科技服務團聯合發佈《“源生萬態”——中國通信行業開源創新發展案例集》,案例集共收錄12家企業23個案例。中國信通院雲大所開源和軟件安全部主任郭雪和中國通信學會諮詢部副主任張哲爲入選案例集企業頒發證書。中國信通院雲大所開源和軟件安全部業務主管賈宇塵對《“源生萬態”——中國通信行業開源創新發展案例集》進行解讀,通過梳理通信行業開源技術應用、通信行業對外開源項目和通信行業企業開源治理三部分案例,我們能夠較爲全面的瞭解通信行業在開源領域的前沿動向和豐富實踐經驗。

(圖:企業代表發表演講)

此外,中國信通院還邀請了華爲採購網絡安全與用戶隱私保護部部長楊明、華爲云云安全解決方案產品總監李德剛、智譜AI開源技術佈道師張昱軒等企業代表,圍繞開源與軟件供應鏈安全、雲遠程連接安全、大模型開源實踐與思考進行主題分享。

數字時代的開源舞臺,中國面孔已經站到聚光燈下。中國軟件從業者、企業和開發者們,用一點一滴的貢獻,刷新着中國開源力量在全球開源生態中的高度。本次論壇通過發佈多項開源及軟件供應鏈安全成果,進行深具實踐價值的精彩分享,爲開源及軟件供應鏈行業高質量發展帶來更多啓迪和思考。未來,中國信通院將繼續與產業各方開展更加緊密的合作,通過制定相關標準、舉辦行業論壇等,推動開源及軟件供應鏈安全、有序、健康發展,推進千行百業數字化轉型,助力數字中國建設。