数字供应链安全成业界热点，行业发展须重视“开源力量”

“数字时代，数字应用开发过程中越来越依赖开源以及第三方组件，由开源以及第三方组件的脆弱性所带来的威胁也愈发严重，数字供应链安全已成为网络安全的热点之一。”北京赛博英杰科技有限公司董事长、正奇学院院长谭晓生这样说。

近日举行的数字供应链安全大会（DSS 2023）以“开源的力量”为主题，由悬镜安全主办，ISC互联网安全大会组委会、中国软件评测中心（工业和信息化部软件与集成电路促进中心）、中国信息通信研究院云计算与大数据研究所、CCF计算机安全专业委员会、北京信息化协会信息技术应用创新工作委员会、OpenChain联合发起，OpenSCA开源社区、XRASP代码疫苗社区协办，共同擘画开源驱动下数字供应链安全生态发展格局。

这段时间，OpenAI及其ChatGPT的火热，又一次证明了开源的力量。北京大学计算机学院网络与安全实验室主任陈钟表示，开源将引领未来包括人工智能创新在内的数字经济发展。数字供应链安全技术、工具、方法方面的突破，能保障信息技术应用创新产业安全可靠，进而服务于经济社会的发展。

信创产业发展已成为国家网络安全战略的重要组成部分。北京信息化协会信息技术应用创新工作委员会秘书长毛新然介绍，为推动信息技术应用创新产业发展，需要政产学研用协同，汇聚数字供应链生态上下游的力量，共同构建一个安全可信赖的数字供应链安全体系，来应对日益增长的数字供应链安全威胁。

开源安全作为一项持续推进的工作，需要社会各界关注。开放原子开源基金会副秘书长辛晓华表示，开源在发展过程中面临安全问题，为建立安全防护能力，护航开源生态可持续发展，各相关单位应携手为开源项目提供应有的支撑，建机制、立标准、强能力、拓合作、铸底线，共同构筑国家安全的开源生态。

“我们要夯实开源软件供应链安全基础设施。”中国工程院院士倪光南表示，开源供应链安全是当前发展开源的核心关键，应当给予高度重视并逐步落实，包括对开源来源、合规性等进行分析，对漏洞风险进行管控，对断供、停服风险进行预警等。

如何定义数字供应链安全？悬镜安全创始人兼CEO、DSS大会执行主席子芽提到，随着信息技术的发展，包括新技术（数字技术）、新发布（开发方式）、新架构（应用构架）、新环境（基础设施）的变化，已促进供应链产生跃迁式变化，传统软件供应链的内涵需扩大为数字供应链，需要将数字应用、基础设施服务、供应链数据统一规划到供应链当中，这是业内首次明确数字供应链的组成。基于此，数字应用安全、基础设施服务安全、供应链数据安全成为数字供应链安全的重点内容。

开源的本质是群智创新和共生进化。针对开源的重要性，子芽认为，开源将是数字供应链发展的力量源泉，其安全性需要得到保障。对此，悬镜安全推出“用开源的方式做开源风险治理”理念，将自身掌握的源码SCA、二进制SCA、运行时SCA这三项关键SCA技术开源，打造OpenSCA开源社区；并基于此，从代码疫苗补丁防御、开源威胁情报、全链路SBOM追踪以及社区生态共建四个方向，赋能企业用户从源头保障开源数字供应链安全。

活动期间，悬镜安全公布了数字供应链SBOM格式——DSDX（Digital Supply-chain Data Exchange ）；还联合中国电信研究院、ISC互联网安全大会发布《数字供应链安全白皮书（2023）》。（记者 李政葳）

来源： 光明网