倪光南出席BCS2023信創(chuàng)安全論壇:供應(yīng)鏈安全是保障開源軟件安全的關(guān)鍵

  • 人閱讀
  • 2023-07-11 17:55:09

  • 來源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

7月7日,在BCS 2023北京網(wǎng)絡(luò)安全大會-信創(chuàng)安全論壇上,中國工程院院士、中國科學(xué)院計算技術(shù)研究所研究員倪光南發(fā)表了《開源軟件供應(yīng)鏈安全》主題演講。演講中他表示,我國目前還存在開源供應(yīng)鏈安全被卡脖子的現(xiàn)象,保障開源軟件安全的關(guān)鍵在于保障開源供應(yīng)鏈安全,要加強(qiáng)開源軟件供應(yīng)鏈基礎(chǔ)設(shè)施平臺的建設(shè)與運(yùn)營。

倪光南表示,當(dāng)前開源已成為商業(yè)軟件的主要成分,開源成分在各行業(yè)代碼庫中的占比從46%-83%,總計開源成分占到了被審代碼庫的70%,且行業(yè)越新,比重越大,開源開始引領(lǐng)全球新興信息技術(shù)的創(chuàng)新。

但當(dāng)前國際局勢動蕩不安,再加上迄今為止大多數(shù)開源基金會所支持的開源項(xiàng)目,業(yè)界通行的開源許可證和代碼托管平臺等等,往往都被海外學(xué)術(shù)界和產(chǎn)業(yè)界所主導(dǎo)。

因此倪光南認(rèn)為,軟件安全涉及到網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息安全、供應(yīng)鏈安全。與專有軟件相比,開源軟件的代碼受到全世界開發(fā)者的共同審視,其應(yīng)用也得到世界上眾多用戶的檢驗(yàn),所以開源軟件安全的關(guān)鍵,就在于保障開源供應(yīng)鏈安全,即使是自主開發(fā)軟件,也要重視開源軟件供應(yīng)鏈安全。

如何更好保護(hù)開源軟件供應(yīng)鏈安全,倪光南介紹了由中科院軟件所和中科南京軟件研究院聯(lián)合研發(fā)的開源軟件供應(yīng)鏈基礎(chǔ)設(shè)施平臺“源圖”。這是國內(nèi)首個開源軟件采集存儲、開發(fā)測試、集成發(fā)布、運(yùn)維升級等一體化設(shè)施,有效保障了我國軟件供應(yīng)安全、產(chǎn)業(yè)創(chuàng)新發(fā)展和開源軟件供應(yīng)鏈安全。

倪光南表示,“源圖”具有合規(guī)性分析、安全性分析、可維護(hù)性分析和供應(yīng)鏈推薦四大核心功能,憑借這些強(qiáng)大功能“源圖”已累計獲取、分析開源軟件超過1000萬款,構(gòu)建了開源軟件知識圖譜,實(shí)現(xiàn)了軟件信息、依賴關(guān)系的知識化處理,清晰展示了軟件、漏洞、開發(fā)者、開發(fā)活動、開源事件等關(guān)鍵信息 比如在科研場景當(dāng)中,“源圖”已在中國科學(xué)院計算機(jī)網(wǎng)絡(luò)信息中心進(jìn)行應(yīng)用,基于源圖提供的API研發(fā)科研軟件供應(yīng)鏈管理工具,評估了信息、基礎(chǔ)前沿、海洋等8個領(lǐng)域相關(guān)軟件,優(yōu)化科研軟件基礎(chǔ)設(shè)施資源池。

再比如工業(yè)軟件領(lǐng)域,應(yīng)用“源圖”已經(jīng)建立了包括19,313個工控物聯(lián)網(wǎng)固件的固件分析數(shù)據(jù)集,共發(fā)現(xiàn)漏洞223,605個,其中高危漏洞47,479個;獲得工控物聯(lián)網(wǎng)行業(yè)原創(chuàng)漏洞89個,達(dá)到了業(yè)內(nèi)先進(jìn)水平。

最后倪光南表示,希望借助信創(chuàng)安全論壇的東風(fēng),在開放原子基金會、開源安全專委會等組織的協(xié)調(diào)下,聯(lián)合國內(nèi)安全界、開源界產(chǎn)學(xué)研單位,共同做好開源軟件供應(yīng)鏈安全的工作。

相關(guān)數(shù)據(jù)顯示,目前我國開源軟件開發(fā)者數(shù)量已經(jīng)突破800萬,居全球第二位。軟件開發(fā)者成果需要安全保障軟件業(yè)務(wù)收入首次躍上10萬億元臺階。全年累計完成軟件業(yè)務(wù)收入達(dá)到108126億元,同比增長11.2%,已成為支撐我國數(shù)字經(jīng)濟(jì)高質(zhì)量增長的又一引擎。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )