ICT深度觀察——開源和軟體供應鏈論壇正式舉行

發佈時間:2023-12-22 16:06:49 | 來源:中國網 | 作者:張九陽 | 責任編輯:趙茜

12月21日,由中國資訊通信研究院(以下簡稱“中國信通院”)主辦的“2024中國信通院ICT深度觀察——開源和軟體供應鏈論壇”在京召開。本屆論壇聚焦開源和軟體供應鏈最新發展趨勢,圍繞開源技術應用能力、軟體供應鏈安全風險等議題開展深入探討,全面展示中國信通院在開源及軟體供應鏈領域的研究、探索與實踐。中國信通院總工程師魏然發表致辭,中國信通院雲大所副所長栗蔚等出席會議並進行主題分享。

中國信通院總工程師魏然致辭

魏總表示,開源作為軟體供應鏈的重要組成部分,憑藉平等、開放、協作、共用的優秀創作模式,逐漸成為推動數字技術創新、加速傳統行業轉型升級、助力企業降本增效的重要引擎。當前,開源和軟體供應鏈安全發展呈現以下三方面趨勢特點:一是開源軟體項目數量持續增長,開源技術覆蓋領域加速擴張;二是開源安全問題凸顯,威脅軟體産品可用性和安全性;三是以開源為切入點,開展軟體供應鏈安全治理成為業界常態。

近年來,中國信通院通過産業研究、標準評估、諮詢賦能、公共服務四大抓手推動國內開源和軟體供應鏈安全産業發展。産業研究方面,中國信通院連續第六年發佈開源生態白皮書,編制軟體供應鏈安全全景洞察、開源合規指南等20余本研究報告;標準評估方面,搭建形成涵蓋國標、行標、團標在內的三十余項開源和軟體供應鏈安全標準體系;諮詢賦能方面,構建覆蓋培訓、診斷、諮詢、訂閱、評估的全生命週期賦能體系,成功落地十余家企業案例;公共服務方面,成立金融、通信、汽車、科技製造等行業開源社區,軟體供應鏈安全實驗室、開源社區共同體、開源合規計劃等生態聯盟,從供給側和應用側雙向推動開源和軟體供應鏈安全生態圈建設。

在開源領域,中國信通院圍繞“安全”、“合規”、“健康”、“可持續”的開源生態發展目標,在業內率先提出“可信開源”理念,目前已形成覆蓋開源全生命週期的標準及評估體系,為推動開源技術的安全合規應用與發展提供重要參考。在安全領域,中國信通院面向安全供應側和用戶側,建立“可信安全”品牌,從軟體供應鏈安全、雲安全、零信任、業務風控、安全保險多個領域,建立事前、事中、事後全鏈條安全體系。

作為論壇的核心環節之一,中國信通院在本屆論壇發佈最新一批可信開源&可信安全系列評估結果,從開源治理、軟體供應鏈安全、開源供應鏈、開源項目社區、雲安全五個維度,建立一系列可信開源&可信安全標準體系,並落地評估測試,幫助企業降低軟體使用風險,推動建立可信開源生態。

中國信通院雲大所副所長栗蔚解讀

在“開源安全與軟體供應鏈”專題論壇中,中國信通院雲大所副所長栗蔚分享《資訊安全技術軟體産品開源代碼安全評價方法》國標編制思路。該標準于2022年11月由中國信通院牽頭立項,旨在給出開源代碼安全評價體系,提高産業開源安全治理能力。標準以可控性、合規性、安全性、穩定性為目標,通過開源代碼來源、開源代碼品質、開源代碼智慧財産權、開源代碼管理4個維度建立安全評價指標體系,並且針對每條指標項給出詳盡評價方法,提高標準的可操作性。針對如何進一步提升開源安全水準,栗蔚給出了四點建議:一是加強開源安全漏洞管理,及時更新開源代碼版本降低運維成本;二是提升開源許可證合規性,關注開源許可證變化;三是加強開源安全團隊管理,提升開源物料清單透明度;四是完善開源安全工具,實現自動化開源安全治理。

中國信通院雲大所副所長栗蔚參加合作儀式

在可信研發運營安全領域,中國信通院圍繞軟體全生命週期,梳理關鍵要素,開展《可信研發運營安全能力成熟度模型》標準制定,並以標準為依託構建測試評估體系,探索産研合作模式。在此背景下,中國信通院雲大所與華為技術有限公司基於TSM可信研發運營安全能力成熟度開展深度合作,現已通過試點評估初步建立成熟合作模式,使之成為華為可信供應商的準入門檻之一。

中國信通院雲大所副所長栗蔚參加發佈儀式

隨著企業數字化轉型進程加速,企業上雲用雲走深向實,雲遠端運維、雲遠端交付、雲數據同步等雲遠端訪問場景的需求增多,作為重要的依託技術,雲遠端連接正逐漸成為雲遠端訪問的核心。而雲遠端連接面臨網路安全邊界不可控、連接透明度不高等挑戰。在此背景下,華為雲計算技術有限公司與中國信通院雲大所共同編寫《雲遠端連接安全實踐指南》,提出安全遠端連接模型、剖析其安全設計原則和關鍵技術方案,旨在保障雲遠端連接過程安全事前可控、事中可視和事後可審,解決雲用戶對遠端連接的安全擔憂。

為深入了解國內軟體供應鏈安全和軟體物料清單工作痛點,中國信通院聯合業界頭部企業,開展可信軟體供應鏈安全和軟體物料清單問卷調研工作。論壇期間,中國信通院雲大所開源和軟體安全部主任郭雪對《軟體供應鏈安全&軟體物料清單調研問卷》結果進行了全面解讀。郭雪表示軟體供應鏈安全已成為業界關注焦點,軟體物料清單作為軟體供應鏈安全治理重要抓手備受矚目。企業建立以開源軟體、商採軟體為核心的全生命週期軟體供應鏈安全管理體系,明確軟體物料清單數據格式規範,開展軟體供應鏈安全資産管理工作將是下一步工作重點。

本次會議隆重發佈了《API治理應用案例彙編(2023)》,共有22個跨越金融、通信、能源、軟體和資訊服務等多個行業的優秀案例被收錄其中。該案例集聚焦API治理實踐經驗,從需求分析、API治理具體方案、應用成效等方面出發匯集我國企業目前API治理應用的優秀實踐案例。 中國信通院雲大所開源和軟體安全部副主任衛斌對案例集進行解讀。

在“開源生態”專題論壇環節,中國信通院雲大所正式啟動《開源之聲》編寫工作,該書是開源從業者智慧和經驗的精華總結,匯集來自不同的研究、工程領域作者所著開源書籍,涉及方向包括開源模式對於軟體工程的促進、所有權制度與國際公約、技術架構與項目共同體、文化的繼承與發揚等各個方面,為開源從業者提供一本兼具理論指導與實踐價值的開源“百科全書”,為行業高品質發展貢獻力量。 

為進一步引導開源大模型産業規範發展,本次會議正式發佈《可信開源大模型案例彙編(第一期)》案例,旨在洞察開源人工智慧大模型應用場景,梳理開源人工智慧大模型的開源成熟度,提升開源人工智慧大模型的創新發展。中國信通院雲大所開源和軟體安全部高級業務主管張一陽就《可信開源大模型案例彙編(第一期)》進行解讀。通過調研國內開源大模型的技術細節、應用場景、商業模式、應用治理、發展趨勢等,關注開源大模型技術生態及産業鏈上下游,全面展現開源大模型及其工具鏈的發展全貌。此外,通過分析入選本次案例的開源大模型行業實踐,為我國大模型産業發展提供路徑參考。 

2021年10月,中國人民銀行等五部委聯合發佈《關於規範金融業開源技術應用與發展的意見》,為金融機構開展開源治理工作指明瞭方向。為貫徹落實意見要求,中國信通院作為牽頭單位,聯合華泰證券、國泰君安證券、西南證券、易方達基金四家機構,共同承擔證標委標準研究課題《證券期貨業開源技術應用與風險管理指南研究》。經證標委批准,該課題被評為2023年度優秀課題。會上,中國信通院雲大所開源和軟體安全部副主任武倩聿對《證券期貨業開源風險管理能力成熟度模型》等課題成果進行解讀,並分享了部分證券機構的開源治理實踐經驗。 

為進一步規範通信行業開源使用,中國通信學會開源技術委員會、中國信通院雲計算開源産業聯盟、“科創中國”開源産業科技服務團聯合發佈《“源生萬態”——中國通信行業開源創新發展案例集》,案例集共收錄12家企業23個案例。中國信通院雲大所開源和軟體安全部主任郭雪和中國通信學會諮詢部副主任張哲為入選案例集企業頒發證書。中國信通院雲大所開源和軟體安全部業務主管賈宇塵對《“源生萬態”——中國通信行業開源創新發展案例集》進行解讀,通過梳理通信行業開源技術應用、通信行業對外開源項目和通信行業企業開源治理三部分案例,我們能夠較為全面的了解通信行業在開源領域的前沿動向和豐富實踐經驗。 

此外,中國信通院還邀請了華為採購網路安全與用戶隱私保護部部長楊明、華為云云安全解決方案産品總監李德剛、智譜AI開源技術布道師張昱軒等企業代表,圍繞開源與軟體供應鏈安全、雲遠端連接安全、大模型開源實踐與思考進行主題分享。

數字時代的開源舞臺,中國面孔已經站到聚光燈下。中國軟體從業者、企業和開發者們,用一點一滴的貢獻,刷新著中國開源力量在全球開源生態中的高度。本次論壇通過發佈多項開源及軟體供應鏈安全成果,進行深具實踐價值的精彩分享,為開源及軟體供應鏈行業高品質發展帶來更多啟迪和思考。未來,中國信通院將繼續與産業各方開展更加緊密的合作,通過制定相關標準、舉辦行業論壇等,推動開源及軟體供應鏈安全、有序、健康發展,推進千行百業數字化轉型,助力數字中國建設。(張九陽)