当前位置:首页 > 休闲

业界呼吁全链条提升开源供应链安全管理能力

科技日报记者 刘艳

我国开源氛围日益浓厚,业界源供应链提升开源供应链风险管理能力,呼吁才能推动产业行稳致远。全链这是条提近日中国信息通信研究院(以下简称中国信通院)和中国通信标准化协会合办的“2023中国互联网大会开源供应链论坛”上的焦点话题。

如中国信通院副总工程师许志远所言,升开开源以开放、安全平等、管理协作、业界源供应链共享为理念,呼吁集众智、全链采众长,条提加速产业迭代升级,升开促进产业协同创新,安全推动产业生态完善,管理已成为全球产业技术和全球产业创新的业界源供应链主导模式。

中国信通院调查数据显示,我国已有超过九成的企业在使用开源技术,云计算、大数据开源的应用率超过40%。

技术是把双刃剑,它有诸多好处,也存在很多风险,开源技术已成为新一代信息技术发展的基础和动力,开源供应链风险管理能力的提升已是当务之急。

许志远说:“开源供应链涉及技术比较复杂,开源代码引入不清,监控不足,导致开源代码中安全问题屡屡出现,树立开源供应链风险意识、加强开源供应链安全治理,是推动我国开源供应链良性发展的有效手段。”

谈及开源供应链安全治理,阿里云高级产品专家曾林青表示,每个厂商都是供应链条上的一个节点,需要清晰地看到自己和上下游之间的边界,开源治理需要从整体着眼,分解到局部,再用整体验收去查漏补缺。

“治理难以一蹴而就,更无法速成,只要软件开发迭代存在,围绕着它的治理就不会停止。”曾林青强调,尽管每个企事业单位都有一系列规章制度与配套组织保障,但治理这件事,仍难免被当作重要而不紧急的事情挂起来,开源供应链治理和供应链转型都属于“一把手工程”,领导层面的重视和行动,决定了这件事能否开始,能走多远。

曾林青呼吁监管部门、研究机构及产业各方共同建立适合国情的开源供应链标准体系和评估体系,推动行业共同进步。

从2012年开始,中国信通院开展了长达十几年的开源研究工作,在生态建设、标准测试、企业赋能、国际合作等方面取得一定成果。中国信通院云计算与大数据研究所副所长栗蔚介绍,中国信通院2022年牵头立项的《信息安全技术 软件产品开源代码安全评价方法》国家标准,更首次从开源代码来源、安全质量、知识产权、代码管理等四方面给出了开源代码安全要求及评价方法,日前已完成征求意见稿,准备转入送审稿阶段。

分享到: