国家信息中心举办“数字政府建设暨数字安全技术”研讨会：海云安提出数字政府软件供应链安全解决方案

近日，由国家信息中心主办，复旦大学研究院承办的“数字政府建设暨数字安全技术研讨会”在义乌顺利召开。国家信息中心信息与网络安全部副主任禄凯，复旦大学党委常委、宣传部部长陈玉刚，义乌市委常委、常务副市长喻新贵为会议致辞。海云安作为此次大会的协办单位，并在大会上就数字政府软件供应链安全问题，进行“数字政府软件供应链安全前沿发展及安全监测实践”的分享演讲。

研讨会现场

随着科技的不断发展，软件供应链已成为软件产业发展的重要组成部分。然而，近年来频频发生的软件供应链安全事件，对企业和用户造成了严重的经济和社会损失。因此，为了保障软件供应链安全，提高软件产品质量，规范软件产业健康发展，开展软件供应链安全工作势在必行。

会上海云安谢朝海博士分别对软件供应链安全的发展现状、数字政府软件供应链安全面临的新挑战、数字政府软件供应链安全总体思路、数字政府软件供应链安全监测实践，四个方面进行分享和阐述提出，“安全左移”是软件供应链安全的必由之路，面向数字化转型过程中电子政府的云原生要求，借鉴国外DevSecOps方法，依据国内《网络安全法》、等保2.0的“三同步”要求，把局部整改为主的外挂式建设模式走向安全与应用深度融合的“原生安全”模式，通过安全的“左移开发，右拓运营”等方式把安全嵌入到整个数字化转型框架中，形成高效、协调的软件供应链安全解决方案，全面提升数字政府网络安全治理水平。通过软件供应链安全监测平台，对软件供应链安全风险进行实时监测，根据软件组件依赖关系，实现漏洞及恶意组件、恶意程序传播机制的分析与管控，能够及时发现威胁，进行阻断，溯源等，为政府、企业软件供应链安全风险管控提供持续保障。

会议分享最后，海云安谢朝海博士对软件供应链安全进行了简单回顾并给出建议：软件供应链的安全管理是一项系统工程，需要从国家、行业、单位多层面入手。各级机构应及时建立发现、分析、处理和保护软件供应链安全风险的能力，并从整体上改进软件供应链安全管理水平。

软件供应链安全管理平台3SC

软件供应链安全管理平台3SC支持对自主开发、外包开发场景，通过从软件产品的规划、建设、交付、运营全生命周期进行安全管控，快速发现缺陷组件、深度且准确的SBOM清单、许可证合规风险检测、供应商安全风险等安全风险，实现软件开发全过程管控、全方位合规。通过配套安全需求工具箱、自查自证工具箱、安全测试工具箱和验证监测工具箱，提供软件开发规划立项、开发建设、上线测试和运行维护四大阶段安全技术能力，按照软件供应链上游、生产链、下游相关风险进行统一管理，统一管理信创系统开源软件资产风险情况，确保生产制品可信交付、安全运营。

全面的供应链可视性：能够提供对软件供应链的全面可视性，通过全面的可视性，可了解和监控整个供应链的安全性，并及时应对潜在的风险和漏洞。

全自动化的风险评估和漏洞管理：自动化进行风险评估和漏洞管理，减少人工工作量，并及时采取措施来保护软件供应链的安全。

实时的安全监控和响应能力：提供实时的安全监控和响应能力，及时发出警报并采取相应的应对措施。实时的安全监控和响应能力可以帮助用户快速应对安全事件，减少潜在的损失和影响。