专业的信息化与通信融合产品选型平台及垂直门户
注册 登陆 设为首页 加入收藏
首页 企业新闻 招标信息 行业应用 厂商专区 活动 商城 中标信息

资讯
中心

新闻中心 人物观点
厂商专区 市场分析
行业
应用
政府机构 能源产业 金融机构
教育科研 医疗卫生 交通运输
应用
分类
统一协作 呼叫客服 IP语音 视频会议 智能管理 数据库
数字监控 信息安全 IP储存 移动应用 云计算 物联网

TOP

信通院发布可信开源系列和可信安全系列评估结果
2024-01-04 10:44:01 来源:通信世界全媒体 作者:【
关键词:可信安全
 
2023年12月21日,由中国信通院主办的“2024中国信通院ICT深度观察——开源和软件供应链论坛”成功举办。在论坛上,中国信通院发布最新一批可信开源&可信安全系列评估结果。
  2023年12月21日,由中国信通院主办的“2024中国信通院ICT深度观察——开源和软件供应链论坛”成功举办。在论坛上,中国信通院发布最新一批可信开源&可信安全系列评估结果。
  本届论坛聚焦开源和软件供应链最新发展趋势,围绕开源技术应用能力、软件供应链安全风险等议题开展深入探讨,全面展示中国信通院在开源及软件供应链领域的研究、探索与实践。中国信通院总工程师魏然致辞中表示,开源作为软件供应链的重要组成部分,凭借平等、开放、协作、共享的优秀创作模式,逐渐成为推动数字技术创新、加速传统行业转型升级、助力企业降本增效的重要引擎。当前,开源和软件供应链安全发展呈现以下三方面趋势特点:一是开源软件项目数量持续增长,开源技术覆盖领域加速扩张;二是开源安全问题凸显,威胁软件产品可用性和安全性;三是以开源为切入点,开展软件供应链安全治理成为业界常态。
  近年来,中国信通院通过产业研究、标准评估、咨询赋能、公共服务四大抓手推动国内开源和软件供应链安全产业发展。在产业研究方面,中国信通院连续第六年发布开源生态白皮书,编制软件供应链安全全景洞察、开源合规指南等20余本研究报告;在标准评估方面,搭建形成涵盖国标、行标、团标在内的三十余项开源和软件供应链安全标准体系;在咨询赋能方面,构建覆盖培训、诊断、咨询、订阅、评估的全生命周期赋能体系,成功落地十余家企业案例;在公共服务方面,成立金融、通信、汽车、科技制造等行业开源社区,软件供应链安全实验室、开源社区共同体、开源合规计划等生态联盟,从供给侧和应用侧双向推动开源和软件供应链安全生态圈建设。
  在开源领域,中国信通院围绕“安全”“合规”“健康”“可持续”的开源生态发展目标,在业内率先提出“可信开源”理念,目前已形成覆盖开源全生命周期的标准及评估体系,为推动开源技术的安全合规应用与发展提供重要参考。在安全领域,中国信通院面向安全供应侧和用户侧,建立“可信安全”品牌,从软件供应链安全、云安全、零信任、业务风控、安全保险多个领域,建立事前、事中、事后全链条安全体系。
  作为论坛的核心环节之一,中国信通院在本届论坛发布最新一批可信开源&可信安全系列评估结果,从开源治理、软件供应链安全、开源供应链、开源项目社区、云安全五个维度,建立一系列可信开源&可信安全标准体系,并落地评估测试,帮助企业降低软件使用风险,推动建立可信开源生态。
  可信开源系列评估结果
  可信安全系列评估结果
  在开源方面,2022年11月由中国信通院牵头立项,制定了《信息安全技术软件产品开源代码安全评价方法》。中国信通院云大所副所长栗蔚介绍,该标准旨在给出开源代码安全评价体系,提高产业开源安全治理能力。标准以可控性、合规性、安全性、稳定性为目标,通过开源代码来源、开源代码质量、开源代码知识产权、开源代码管理4个维度建立安全评价指标体系,并且针对每条指标项给出详尽评价方法,提高标准的可操作性。针对如何进一步提升开源安全水平,栗蔚给出了四点建议:一是加强开源安全漏洞管理,及时更新开源代码版本降低运维成本;二是提升开源许可证合规性,关注开源许可证变化;三是加强开源安全团队管理,提升开源物料清单透明度;四是完善开源安全工具,实现自动化开源安全治理。
  在可信研发运营安全领域,中国信通院围绕软件全生命周期,梳理关键要素,开展《可信研发运营安全能力成熟度模型》标准制定,并以标准为依托构建测试评估体系,探索产研合作模式。在此背景下,中国信通院云大所与华为技术有限公司基于TSM可信研发运营安全能力成熟度开展深度合作,现已通过试点评估初步建立成熟合作模式,使之成为华为可信供应商的准入门槛之一。
  随着企业数字化转型进程加速,企业上云用云走深向实,云远程运维、云远程交付、云数据同步等云远程访问场景的需求增多,作为重要的依托技术,云远程连接正逐渐成为云远程访问的核心。而云远程连接面临网络安全边界不可控、连接透明度不高等挑战。在此背景下,华为云计算技术有限公司与中国信通院云大所共同编写《云远程连接安全实践指南》,提出安全远程连接模型、剖析其安全设计原则和关键技术方案,旨在保障云远程连接过程安全事前可控、事中可视和事后可审,解决云用户对远程连接的安全担忧。
  为深入了解国内软件供应链安全和软件物料清单工作痛点,中国信通院联合业界头部企业,开展可信软件供应链安全和软件物料清单问卷调研工作。论坛期间,中国信通院云大所开源和软件安全部主任郭雪对《软件供应链安全&软件物料清单调研问卷》结果进行了全面解读。郭雪表示软件供应链安全已成为业界关注焦点,软件物料清单作为软件供应链安全治理重要抓手备受瞩目。企业建立以开源软件、商采软件为核心的全生命周期软件供应链安全管理体系,明确软件物料清单数据格式规范,开展软件供应链安全资产管理工作将是下一步工作重点。
  数字时代的开源舞台,中国面孔已经站到聚光灯下。中国软件从业者、企业和开发者们,用一点一滴的贡献,刷新着中国开源力量在全球开源生态中的高度。本次论坛通过发布多项开源及软件供应链安全成果,进行深具实践价值的精彩分享,为开源及软件供应链行业高质量发展带来更多启迪和思考。中国信通院表示,未来将继续与产业各方开展更加紧密的合作,通过制定相关标准、举办行业论坛等,推动开源及软件供应链安全、有序、健康发展,推进千行百业数字化转型,助力数字中国建设。
      

责任编辑:admin
免责声明:以上内容转载互联网平台或企业单位自行提供,对内容的真实性、准确性和合法性不负责,Voipchina网对此不承担任何法律责任。

】【打印繁体】【投稿】【收藏】 【推荐】【举报】【评论】 【关闭】 【返回顶部

上一篇信通院孟楠:卫星互联网、算力、6..
下一篇以SASE筑牢网络边界 提供“云边端..

热门文章

图片主题

最新文章

相关文章

广告位

Copyright@2003-2009 网络通信中国(原VoIP中国) 版权所有
联系方式:503927495@qq.com
  京ICP备05067673号-1 京公网安1101111101259