一場(chǎng)主題為“網(wǎng)絡(luò)安全技術(shù) 軟件產(chǎn)品開源代碼安全評(píng)價(jià)方法”的國(guó)家標(biāo)準(zhǔn)宣貫會(huì)在北京圓滿召開。本次會(huì)議由國(guó)家相關(guān)標(biāo)準(zhǔn)化技術(shù)委員會(huì)指導(dǎo),旨在深入解讀和推廣近期發(fā)布的重要國(guó)家標(biāo)準(zhǔn),提升我國(guó)在網(wǎng)絡(luò)安全軟件開發(fā),特別是開源代碼安全治理領(lǐng)域的整體水平。
隨著信息技術(shù)的飛速發(fā)展,軟件已成為社會(huì)運(yùn)行和數(shù)字經(jīng)濟(jì)的關(guān)鍵基礎(chǔ)設(shè)施。開源代碼以其開放性、協(xié)作性和創(chuàng)新性,極大地推動(dòng)了軟件產(chǎn)業(yè)的繁榮,但也帶來(lái)了嚴(yán)峻的安全挑戰(zhàn)。未經(jīng)嚴(yán)格安全評(píng)估的開源組件可能引入已知甚至未知的漏洞,成為整個(gè)軟件供應(yīng)鏈的薄弱環(huán)節(jié),對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施和個(gè)人隱私構(gòu)成潛在威脅。
此次宣貫的核心——《軟件產(chǎn)品開源代碼安全評(píng)價(jià)方法》國(guó)家標(biāo)準(zhǔn),正是在此背景下應(yīng)運(yùn)而生。該標(biāo)準(zhǔn)系統(tǒng)性地規(guī)定了針對(duì)軟件產(chǎn)品中所使用開源代碼的安全評(píng)價(jià)目標(biāo)、流程、內(nèi)容、方法以及結(jié)果判定準(zhǔn)則。它強(qiáng)調(diào)從開源組件的選型引入、集成使用到持續(xù)維護(hù)的全生命周期安全管理,為軟件開發(fā)企業(yè)、安全測(cè)評(píng)機(jī)構(gòu)及行業(yè)監(jiān)管部門提供了一套科學(xué)、統(tǒng)一、可操作的規(guī)范性指引。
在宣貫會(huì)上,標(biāo)準(zhǔn)主要起草專家對(duì)標(biāo)準(zhǔn)條款進(jìn)行了逐條精講,結(jié)合當(dāng)前“網(wǎng)絡(luò)與信息安全軟件開發(fā)”中的實(shí)際痛點(diǎn)與典型案例,深入淺出地闡述了如何識(shí)別開源組件許可證合規(guī)風(fēng)險(xiǎn)、如何利用自動(dòng)化工具結(jié)合人工審計(jì)進(jìn)行漏洞掃描與評(píng)估、如何建立開源軟件物料清單(SBOM)以及如何制定有效的漏洞修復(fù)與應(yīng)急響應(yīng)策略。與會(huì)專家一致認(rèn)為,該標(biāo)準(zhǔn)的實(shí)施將有效引導(dǎo)企業(yè)建立規(guī)范的開源安全治理體系,從源頭提升軟件產(chǎn)品的內(nèi)生安全質(zhì)量,對(duì)于保障我國(guó)軟件供應(yīng)鏈安全、促進(jìn)軟件產(chǎn)業(yè)健康發(fā)展具有里程碑式的意義。
會(huì)議吸引了來(lái)自國(guó)內(nèi)頂尖網(wǎng)絡(luò)安全企業(yè)、大型互聯(lián)網(wǎng)公司、金融機(jī)構(gòu)科技部門、科研院所及第三方測(cè)評(píng)機(jī)構(gòu)的數(shù)百名代表參加。在交流研討環(huán)節(jié),與會(huì)者圍繞標(biāo)準(zhǔn)落地實(shí)踐中可能遇到的技術(shù)細(xì)節(jié)、工具適配、成本控制以及與國(guó)際相關(guān)實(shí)踐接軌等問題展開了熱烈討論。大家普遍反映,此次宣貫內(nèi)容詳實(shí)、指導(dǎo)性強(qiáng),為后續(xù)在企業(yè)內(nèi)部推行開源安全治理提供了清晰的路線圖。
本次國(guó)家標(biāo)準(zhǔn)宣貫會(huì)的成功召開,標(biāo)志著我國(guó)在軟件安全標(biāo)準(zhǔn)化領(lǐng)域邁出了堅(jiān)實(shí)的一步。它不僅是對(duì)一項(xiàng)重要技術(shù)標(biāo)準(zhǔn)的推廣,更是對(duì)國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略的積極響應(yīng)和具體落實(shí)。隨著標(biāo)準(zhǔn)的廣泛應(yīng)用與持續(xù)完善,必將有力推動(dòng)我國(guó)“網(wǎng)絡(luò)與信息安全軟件開發(fā)”邁入更規(guī)范、更安全、更可靠的新階段,為數(shù)字中國(guó)建設(shè)筑牢安全底座。
