見證開源力量：DSS 2023數(shù)字供應(yīng)鏈安全大會(huì)成功舉辦

飛象網(wǎng)訊 8月10日，2023 數(shù)字供應(yīng)鏈安全大會(huì)（DSS 2023）在北京·國(guó)家會(huì)議中心隆重舉辦。大會(huì)由懸鏡安全主辦，ISC互聯(lián)網(wǎng)安全大會(huì)組委會(huì)、中國(guó)軟件評(píng)測(cè)中心（工業(yè)和信息化部軟件與集成電路促進(jìn)中心）、中國(guó)信息通信研究院云計(jì)算與大數(shù)據(jù)研究所、CCF計(jì)算機(jī)安全專業(yè)委員會(huì)、北京信息化協(xié)會(huì)信息技術(shù)應(yīng)用創(chuàng)新工作委員會(huì)、OpenChain聯(lián)合發(fā)起，OpenSCA開源社區(qū)、XRASP代碼疫苗社區(qū)協(xié)辦。

DSS 2023以“開源的力量”為主題，聯(lián)合眾多產(chǎn)業(yè)專家智囊、資深研究學(xué)者、開源意見領(lǐng)袖和行業(yè)頭部用戶共同擘畫開源驅(qū)動(dòng)下數(shù)字供應(yīng)鏈安全生態(tài)發(fā)展新藍(lán)圖。

北京賽博英杰科技有限公司董事長(zhǎng)、正奇學(xué)院院長(zhǎng)譚曉生作為大會(huì)主持人。指出，數(shù)字時(shí)代，數(shù)字應(yīng)用開發(fā)過程中越來越依賴開源以及第三方組件，由開源以及第三方組件的脆弱性所帶來的威脅也愈發(fā)嚴(yán)重，數(shù)字供應(yīng)鏈安全已成為當(dāng)今網(wǎng)絡(luò)安全的熱點(diǎn)之一。

譚曉生    北京賽博英杰科技有限公司董事長(zhǎng)、正奇學(xué)院院長(zhǎng)

OpenAI及其ChatGPT項(xiàng)目的成功又一次證明了開源的力量，北京大學(xué)計(jì)算機(jī)學(xué)院網(wǎng)絡(luò)與安全實(shí)驗(yàn)室主任陳鐘在致辭中表示，開源將引領(lǐng)未來包括人工智能創(chuàng)新在內(nèi)的數(shù)字經(jīng)濟(jì)發(fā)展。在國(guó)內(nèi)，特別是在信創(chuàng)領(lǐng)域，絕大多數(shù)的軟件和硬件都是依托于開源的力量來構(gòu)建未來發(fā)展的基石。而數(shù)字供應(yīng)鏈安全技術(shù)、工具、方法方面的突破，能保障信息技術(shù)應(yīng)用創(chuàng)新產(chǎn)業(yè)安全可靠，進(jìn)而服務(wù)于經(jīng)濟(jì)社會(huì)的發(fā)展。

陳  鐘    北京大學(xué)計(jì)算機(jī)學(xué)院網(wǎng)絡(luò)與安全實(shí)驗(yàn)室主任

信創(chuàng)產(chǎn)業(yè)發(fā)展已成為國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略的重要組成部分，北京信息化協(xié)會(huì)信息技術(shù)應(yīng)用創(chuàng)新工作委員會(huì)秘書長(zhǎng)毛新然在致辭中指出，為推動(dòng)信息技術(shù)應(yīng)用創(chuàng)新產(chǎn)業(yè)發(fā)展，需要政產(chǎn)學(xué)研用協(xié)同，匯聚數(shù)字供應(yīng)鏈生態(tài)上下游的力量，共同構(gòu)建一個(gè)安全可信賴的數(shù)字供應(yīng)鏈安全體系，來應(yīng)對(duì)日益增長(zhǎng)的數(shù)字供應(yīng)鏈安全威脅。

毛新然    北京信息化協(xié)會(huì)信息技術(shù)應(yīng)用創(chuàng)新工作委員會(huì)秘書長(zhǎng)

開源安全作為一項(xiàng)持續(xù)推進(jìn)的工作，需要社會(huì)各界廣泛關(guān)注，開放原子開源基金會(huì)副秘書長(zhǎng)辛?xí)匀A在致辭中表示，開源在發(fā)展過程中面臨安全問題，為建立安全防護(hù)能力，護(hù)航開源生態(tài)可持續(xù)發(fā)展，各相關(guān)單位應(yīng)攜手為開源項(xiàng)目提供應(yīng)有的支撐，建機(jī)制、立標(biāo)準(zhǔn)、強(qiáng)能力、拓合作、鑄底線，共同構(gòu)筑國(guó)家安全的開源生態(tài)。

辛?xí)匀A    開放原子開源基金會(huì)副秘書長(zhǎng)

開源供應(yīng)鏈?zhǔn)菙?shù)字供應(yīng)鏈范疇中極其重要的部分，中國(guó)工程院院士倪光南以《夯實(shí)開源軟件供應(yīng)鏈安全基礎(chǔ)設(shè)施》為題發(fā)表演講，明確表示發(fā)展開源是中國(guó)融入世界科技創(chuàng)新網(wǎng)絡(luò)的重要途徑，然而當(dāng)前國(guó)際形勢(shì)動(dòng)蕩，由于大多數(shù)主流開源基金會(huì)和開源項(xiàng)目由國(guó)外主導(dǎo)，使得停服、斷供、脫鉤以及其他安全問題時(shí)有發(fā)生，開源供應(yīng)鏈也在不同程度上受到了沖擊。開源供應(yīng)鏈安全是當(dāng)前發(fā)展開源的核心關(guān)鍵，應(yīng)當(dāng)給予高度重視并逐步落實(shí)，包括對(duì)開源來源、合規(guī)性等進(jìn)行分析，對(duì)漏洞風(fēng)險(xiǎn)進(jìn)行管控，對(duì)斷供、停服風(fēng)險(xiǎn)進(jìn)行預(yù)警等。

倪光南 中國(guó)工程院院士

如何定義數(shù)字供應(yīng)鏈安全？懸鏡安全創(chuàng)始人兼CEO、DSS大會(huì)執(zhí)行主席子芽發(fā)表《開源的力量》大會(huì)主旨演講，他指出數(shù)字時(shí)代，隨著信息技術(shù)的發(fā)展，包括新技術(shù)（數(shù)字技術(shù)）、新發(fā)布（開發(fā)方式）、新架構(gòu)（應(yīng)用構(gòu)架）、新環(huán)境（基礎(chǔ)設(shè)施）的變化，已促進(jìn)供應(yīng)鏈產(chǎn)生躍遷式變化，傳統(tǒng)軟件供應(yīng)鏈的內(nèi)涵需擴(kuò)大為數(shù)字供應(yīng)鏈，需要將數(shù)字應(yīng)用、基礎(chǔ)設(shè)施服務(wù)、供應(yīng)鏈數(shù)據(jù)統(tǒng)一規(guī)劃到供應(yīng)鏈當(dāng)中，這是業(yè)內(nèi)首次明確數(shù)字供應(yīng)鏈的組成�；�于此，數(shù)字應(yīng)用安全、基礎(chǔ)設(shè)施服務(wù)安全、供應(yīng)鏈數(shù)據(jù)安全即成為數(shù)字供應(yīng)鏈安全的重點(diǎn)內(nèi)容。

子芽  懸鏡安全創(chuàng)始人兼CEO、DSS大會(huì)執(zhí)行主席

開源的本質(zhì)是群智創(chuàng)新和共生進(jìn)化。子芽在演講中再次強(qiáng)調(diào)了開源的重要性，并且著重指出面對(duì)充滿不確定性的未來，開源將是數(shù)字供應(yīng)鏈發(fā)展的力量源泉，其安全性需要得到保障。懸鏡安全革命性推出“用開源的方式做開源風(fēng)險(xiǎn)治理”理念，將自身掌握的源碼SCA、二進(jìn)制SCA、運(yùn)行時(shí)SCA這三項(xiàng)關(guān)鍵SCA技術(shù)開源，打造OpenSCA開源社區(qū)，并基于此，從代碼疫苗補(bǔ)丁防御、開源威脅情報(bào)、全鏈路SBOM追蹤以及社區(qū)生態(tài)共建四個(gè)方向，賦能企業(yè)用戶從源頭保障開源數(shù)字供應(yīng)鏈安全。

在大會(huì)發(fā)布儀式上，懸鏡安全正式對(duì)外公布了中國(guó)首個(gè)數(shù)字供應(yīng)鏈SBOM格式——DSDX（Digital Supply-chain Data Exchange ）。DSDX由OpenSCA社區(qū)主導(dǎo)發(fā)起，匯聚開源中國(guó)、電信研究院、中興通訊等甲方用戶SBOM落地實(shí)踐經(jīng)驗(yàn)與安全廠商技術(shù)應(yīng)用視角，針對(duì)性適配中國(guó)企業(yè)實(shí)戰(zhàn)化應(yīng)用場(chǎng)景。其目標(biāo)是成為數(shù)字供應(yīng)鏈安全治理與運(yùn)營(yíng)的核心技術(shù)抓手，以助力行業(yè)將軟件供應(yīng)安全升級(jí)為數(shù)字供應(yīng)鏈安全。

此外，懸鏡安全還聯(lián)合中國(guó)電信研究院、ISC互聯(lián)網(wǎng)安全大會(huì)發(fā)布了《數(shù)字供應(yīng)鏈安全白皮書（2023）》。該白皮書是繼《軟件供應(yīng)鏈安全白皮書（2021）》《軟件供應(yīng)鏈安全治理與運(yùn)營(yíng)白皮書（2022）》后，懸鏡安全將軟件供應(yīng)鏈安全概念升級(jí)，發(fā)布的國(guó)內(nèi)第一個(gè)數(shù)字供應(yīng)鏈安全相關(guān)報(bào)告。

在DSS 2023大會(huì)上，來自“政產(chǎn)學(xué)研用”各界的專家智囊、研究學(xué)者、行業(yè)領(lǐng)袖齊聚，就數(shù)字供應(yīng)鏈風(fēng)險(xiǎn)挑戰(zhàn)、技術(shù)創(chuàng)新、安全實(shí)踐、生態(tài)建設(shè)等維度帶來精彩紛呈的主題演講。

螞蟻集團(tuán)網(wǎng)絡(luò)安全副總經(jīng)理程巖聚焦軟件供應(yīng)鏈安全，分析了當(dāng)下軟件供應(yīng)鏈安全風(fēng)險(xiǎn)現(xiàn)狀，分享了螞蟻集團(tuán)在軟件供應(yīng)鏈安全生態(tài)構(gòu)建方面的三大關(guān)鍵階段，以及關(guān)于軟件供應(yīng)鏈風(fēng)險(xiǎn)治理的思路和具體實(shí)踐。

程  巖    螞蟻集團(tuán)網(wǎng)絡(luò)安全副總經(jīng)理

中信建投證券技術(shù)部技術(shù)總監(jiān)張建軍立足證券行業(yè)，闡述了行業(yè)特點(diǎn)和由其面臨的數(shù)字供應(yīng)鏈安全問題，分享了中信建投證券在開發(fā)、測(cè)試、運(yùn)維等環(huán)節(jié)對(duì)應(yīng)的安全工作和技術(shù)抓手以及整個(gè)供應(yīng)鏈安全治理體系。

張建軍    中信建投證券技術(shù)部技術(shù)總監(jiān)

中國(guó)電信研究院安全技術(shù)研究所所長(zhǎng)何國(guó)鋒重點(diǎn)介紹了用高可信安全架構(gòu)解決數(shù)字化時(shí)代安全問題，強(qiáng)調(diào)了軟件安全中心作為高可信安全體系重要組成部分對(duì)于數(shù)字供應(yīng)鏈安全保障的重要性，并分享了中國(guó)電信的相關(guān)實(shí)踐。

何國(guó)鋒    中國(guó)電信研究院安全技術(shù)研究所所長(zhǎng)

中國(guó)信息通信研究院云計(jì)算與大數(shù)據(jù)研究所所長(zhǎng)何寶宏指出數(shù)字經(jīng)濟(jì)時(shí)代軟件供應(yīng)鏈安全體系建設(shè)工作需要基于“三大環(huán)節(jié)、五大模塊”開展，并呼吁上下游機(jī)構(gòu)組織、企業(yè)以技術(shù)突破為核心，打造可信安全的供應(yīng)鏈生態(tài)。

何寶宏  中國(guó)信息通信研究院云計(jì)算與大數(shù)據(jù)研究所所長(zhǎng)

中國(guó)軟件評(píng)測(cè)中心信發(fā)事業(yè)部主任翟艷芬重點(diǎn)分享了軟件供應(yīng)鏈安全能力成熟度評(píng)估模型以及供應(yīng)鏈中的需求方、供應(yīng)方和第三方機(jī)構(gòu)如何通過評(píng)估模型分析目標(biāo)的軟件供應(yīng)鏈安全現(xiàn)狀，提高其軟件供應(yīng)鏈安全能力。

翟艷芬    中國(guó)軟件評(píng)測(cè)中心信發(fā)事業(yè)部主任

平安壹錢包信息安全運(yùn)營(yíng)負(fù)責(zé)人汪永輝基于多年安全工作經(jīng)驗(yàn)，從開源組件安全痛點(diǎn)出發(fā)，提出了建立事前、事中、事后管理體系，加強(qiáng)外部開源引入的管控和攔截的實(shí)踐理念，并分享了如何在企業(yè)內(nèi)部推動(dòng)安全工作順利落地。

汪永輝    平安壹錢包信息安全運(yùn)營(yíng)負(fù)責(zé)人

中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院云計(jì)算研究室主任楊麗蘊(yùn)聚焦數(shù)字供應(yīng)鏈安全標(biāo)準(zhǔn)化工作，通過分析比較國(guó)外成熟經(jīng)驗(yàn)，指出從SBOM出發(fā)，研制適合我國(guó)的軟件物料清單數(shù)據(jù)格式標(biāo)準(zhǔn)的重要性。

楊麗蘊(yùn)    中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院云計(jì)算研究室主任

華為云產(chǎn)業(yè)戰(zhàn)略官、華為可信供應(yīng)鏈組長(zhǎng)張銳剛介紹了開源治理面臨的產(chǎn)業(yè)挑戰(zhàn)，分享了華為云軟件工程可信體系在開源治理方面的落地實(shí)踐，幫助有效治理開源軟件資產(chǎn)、不斷提升對(duì)產(chǎn)業(yè)社區(qū)開源貢獻(xiàn)等。

張銳剛    華為云產(chǎn)業(yè)戰(zhàn)略官、華為可信供應(yīng)鏈組長(zhǎng)

中國(guó)軟件評(píng)測(cè)中心安全事業(yè)部副總經(jīng)理秦曉磊從開源軟件漏洞實(shí)例切入，強(qiáng)調(diào)開源軟件漏洞的識(shí)別與修復(fù)可以有效地降低移動(dòng)APP的開源安全風(fēng)險(xiǎn)，并詳細(xì)介紹了如何識(shí)別移動(dòng)APP中的開源軟件并采取有效的風(fēng)險(xiǎn)管理策略。

秦曉磊    中國(guó)軟件評(píng)測(cè)中心安全事業(yè)部副總經(jīng)理

某車聯(lián)網(wǎng)云服務(wù)提供商信息安全負(fù)責(zé)人孫權(quán)指出，在車聯(lián)網(wǎng)供應(yīng)鏈安全體系中，數(shù)據(jù)安全面臨嚴(yán)重風(fēng)險(xiǎn)卻往往被忽視，需要從車的構(gòu)造、國(guó)家的法規(guī)、人為因素角度綜合思考，提升行業(yè)數(shù)據(jù)安全意識(shí)。

孫  權(quán)    某車聯(lián)網(wǎng)云服務(wù)提供商信息安全負(fù)責(zé)人

中興通訊股份有限公司開源合規(guī)&安全治理總監(jiān)項(xiàng)曙明認(rèn)為，開源引入對(duì)數(shù)字供應(yīng)鏈造成沖擊，為此，他分享了一系列數(shù)字供應(yīng)鏈開源治理的戰(zhàn)略戰(zhàn)術(shù)以及從“三個(gè)線路”建立開源軟件數(shù)字供應(yīng)鏈安全機(jī)制。

項(xiàng)曙明    中興通訊股份有限公司開源合規(guī)&安全治理總監(jiān)

懸鏡安全COO董毅解讀了剛剛發(fā)布的《數(shù)字供應(yīng)鏈安全白皮書（2023）》，他指出，白皮書詳細(xì)定義了數(shù)字供應(yīng)鏈安全新概念，分析了數(shù)字供應(yīng)鏈安全風(fēng)險(xiǎn)現(xiàn)狀，分享了數(shù)字供應(yīng)鏈安全體系建設(shè)、實(shí)踐落地新思路和新方案，是企業(yè)組織進(jìn)行數(shù)字供應(yīng)鏈安全保障工作的指南。

董  毅    懸鏡安全COO

隨后，在由譚曉生主持的“高端圓桌論壇”上，圍繞“構(gòu)建數(shù)字供應(yīng)鏈安全產(chǎn)業(yè)創(chuàng)新發(fā)展新生態(tài)”主題，中國(guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專業(yè)委員會(huì)榮譽(yù)主任、公安部一所和三所原所長(zhǎng)嚴(yán)明、北京大學(xué)計(jì)算機(jī)學(xué)院網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室主任陳鐘、開源中國(guó)CTO紅薯、賽迪賽迪顧問股份有限公司業(yè)務(wù)總經(jīng)理高丹、東方通首席科學(xué)家謝耘、懸鏡安全CTO寧戈分享了各自的觀點(diǎn)。

未來，DSS大會(huì)將繼續(xù)攜手?jǐn)?shù)字供應(yīng)鏈生態(tài)上下游的機(jī)構(gòu)組織和企業(yè)，持續(xù)守護(hù)中國(guó)數(shù)字供應(yīng)鏈安全。