奇安信吴云坤：技术与管理深入结合 打造软件供应链安全系统工程

2月16日，在首届ICT软件供应链安全治理论坛上，奇安信集团总裁吴云坤表示，软件供应链系统生命周期的各个环节都可能存在供应链安全风险，需要用系统工程方法体系化、全局性治理。

供应链安全体系化管理需重视四大关键点

国际对抗升级叠加数字化转型，供应链安全成重要挑战。一方面，软件供应链风险存在于应用系统的全生命周期，已成为网络攻击的主要目标;另一方面，近年来的软件供应链安全事件频发，波及范围和影响程度也越来越大。对此，吴云坤指出，软件供应链安全需要用系统工程方法体系化、全局性治理，从组织、流程制度、场景、能力四个层面出发，抓好四个关键点。

一是明确软件供应链安全管理控制点，针对软件供应链全生命周期的安全风险，在不同阶段做好不同阶段的安全设计、建设和运行管理，确保安全覆盖软件全生命周期;二是完善软件供应链安全管理的组织建设，这是软件供应链安全成功的保障，需要全员参与、分工明确、责任到位;三是健全软件供应链安全管理工作内容与制度建设，要将技术方案与管理办法深度结合;四是做好软件供应链安全能力的设计。

软件供应链安全全生命周期的四项关键能力

在技术方面，吴云坤表示，软件供应链安全的技术能力建设必须涵盖开发生产、集成交付、使用运行各阶段，并指出了四项关键能力。

首先，建设开发安全能力。可通过奇安信代码卫士等第三方代码安全解决方案，帮助企业以最小代价建立代码安全保障体系并落地实施。

其次，建设开源安全能力。可借助奇安信开源卫士等专业系统，实现开源软件资产识别、开源软件安全风险分析、开源软件漏洞告警及开源软件安全管理等功能，降低由开源软件带来的安全风险，保障企业交付更安全的软件。

第三，建设安全部署、运行能力。奇安信天问系统就是专门面向软件供应链安全领域的分析平台，可为高危漏洞影响范围评估、终端软件安全管控、后门植入事件主动发现、信创软件安全性测评等一系列软件供应链安全分析相关工作提供支撑。

第四，建设自动化渗透测试能力，持续探测生产环境、开发环境的信息安全漏洞。

在北京冬奥会网络安全服务中，奇安信就通过建立自动化安全检测机制，覆盖跨站脚本、代码注入、API误用、密码管理、配置管理、危险函数、异常处理、资源管理、代码质量、缓冲溢出等对冬奥业务威胁较大的代码问题，对冬奥业务系统的代码安全性检测，发现问题及时处置，从而确保了北京冬奥会“业务不中断、数据不出事、合规不踩线”的零事故运行。

　深耕软件供应链安全 奇安信获多项荣誉

科技自立自强，需要强健的软件供应链安全做保障。吴云坤介绍，目前，由重庆市委网信办领导，由璧山区政府和奇安信集团共同建设的全国首个软件供应链安全检测中心已落地重庆，面向机构和企业从源代码层面评估软件自身安全风险，并提供代码安全整改建议，最大化降低软件供应链上游环节问题给整个数字化业务带来的风险。

凭借多年的技术积累和产品创新，奇安信软件供应链的产品和服务能力获得了行业的充分肯定。在颁奖环节，奇安信获得多项荣誉：奇安信集团获“信息通信软件供应链安全社区优秀会员单位”荣誉，奇安信“基于软件成分分析的开源软件安全治理平台”获自主创新研发成果奖，奇安信发布的《2022中国软件供应链安全分析报告》获“科学研究文献成果奖”，奇安信安全专家童小刚、董国伟、苏砫三人获“社区年度优秀专家”荣誉。

据悉，信息通信软件供应链安全社区是在工业和信息化部网络安全管理局指导下，由中国信息通信研究院、中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国铁塔股份有限公司、奇安信科技集团股份有限公司共同发起筹建，致力于软件供给过程的安全生态建设，为产业链、供应链各相关方等提供研讨、研发、协作、共治的平台。