飛象網訊 8月10日,2023 數字供應鏈安全大會(DSS 2023)在北京·國家會議中心隆重舉辦。大會由懸鏡安全主辦,ISC互聯網安全大會組委會、中國軟件評測中心(工業和信息化部軟件與集成電路促進中心)、中國信息通信研究院云計算與大數據研究所、CCF計算機安全專業委員會、北京信息化協會信息技術應用創新工作委員會、OpenChain聯合發起,OpenSCA開源社區、XRASP代碼疫苗社區協辦。

DSS 2023以“開源的力量”為主題,聯合眾多產業專家智囊、資深研究學者、開源意見領袖和行業頭部用戶共同擘畫開源驅動下數字供應鏈安全生態發展新藍圖。
北京賽博英杰科技有限公司董事長、正奇學院院長譚曉生作為大會主持人。指出,數字時代,數字應用開發過程中越來越依賴開源以及第三方組件,由開源以及第三方組件的脆弱性所帶來的威脅也愈發嚴重,數字供應鏈安全已成為當今網絡安全的熱點之一。
譚曉生 北京賽博英杰科技有限公司董事長、正奇學院院長
OpenAI及其ChatGPT項目的成功又一次證明了開源的力量,北京大學計算機學院網絡與安全實驗室主任陳鐘在致辭中表示,開源將引領未來包括人工智能創新在內的數字經濟發展。在國內,特別是在信創領域,絕大多數的軟件和硬件都是依托于開源的力量來構建未來發展的基石。而數字供應鏈安全技術、工具、方法方面的突破,能保障信息技術應用創新產業安全可靠,進而服務于經濟社會的發展。

陳 鐘 北京大學計算機學院網絡與安全實驗室主任
信創產業發展已成為國家網絡安全戰略的重要組成部分,北京信息化協會信息技術應用創新工作委員會秘書長毛新然在致辭中指出,為推動信息技術應用創新產業發展,需要政產學研用協同,匯聚數字供應鏈生態上下游的力量,共同構建一個安全可信賴的數字供應鏈安全體系,來應對日益增長的數字供應鏈安全威脅。
毛新然 北京信息化協會信息技術應用創新工作委員會秘書長
開源安全作為一項持續推進的工作,需要社會各界廣泛關注,開放原子開源基金會副秘書長辛曉華在致辭中表示,開源在發展過程中面臨安全問題,為建立安全防護能力,護航開源生態可持續發展,各相關單位應攜手為開源項目提供應有的支撐,建機制、立標準、強能力、拓合作、鑄底線,共同構筑國家安全的開源生態。
辛曉華 開放原子開源基金會副秘書長
開源供應鏈是數字供應鏈范疇中極其重要的部分,中國工程院院士倪光南以《夯實開源軟件供應鏈安全基礎設施》為題發表演講,明確表示發展開源是中國融入世界科技創新網絡的重要途徑,然而當前國際形勢動蕩,由于大多數主流開源基金會和開源項目由國外主導,使得停服、斷供、脫鉤以及其他安全問題時有發生,開源供應鏈也在不同程度上受到了沖擊。開源供應鏈安全是當前發展開源的核心關鍵,應當給予高度重視并逐步落實,包括對開源來源、合規性等進行分析,對漏洞風險進行管控,對斷供、停服風險進行預警等。
倪光南 中國工程院院士
如何定義數字供應鏈安全?懸鏡安全創始人兼CEO、DSS大會執行主席子芽發表《開源的力量》大會主旨演講,他指出數字時代,隨著信息技術的發展,包括新技術(數字技術)、新發布(開發方式)、新架構(應用構架)、新環境(基礎設施)的變化,已促進供應鏈產生躍遷式變化,傳統軟件供應鏈的內涵需擴大為數字供應鏈,需要將數字應用、基礎設施服務、供應鏈數據統一規劃到供應鏈當中,這是業內首次明確數字供應鏈的組成;诖,數字應用安全、基礎設施服務安全、供應鏈數據安全即成為數字供應鏈安全的重點內容。
子芽 懸鏡安全創始人兼CEO、DSS大會執行主席
開源的本質是群智創新和共生進化。子芽在演講中再次強調了開源的重要性,并且著重指出面對充滿不確定性的未來,開源將是數字供應鏈發展的力量源泉,其安全性需要得到保障。懸鏡安全革命性推出“用開源的方式做開源風險治理”理念,將自身掌握的源碼SCA、二進制SCA、運行時SCA這三項關鍵SCA技術開源,打造OpenSCA開源社區,并基于此,從代碼疫苗補丁防御、開源威脅情報、全鏈路SBOM追蹤以及社區生態共建四個方向,賦能企業用戶從源頭保障開源數字供應鏈安全。
在大會發布儀式上,懸鏡安全正式對外公布了中國首個數字供應鏈SBOM格式——DSDX(Digital Supply-chain Data Exchange )。DSDX由OpenSCA社區主導發起,匯聚開源中國、電信研究院、中興通訊等甲方用戶SBOM落地實踐經驗與安全廠商技術應用視角,針對性適配中國企業實戰化應用場景。其目標是成為數字供應鏈安全治理與運營的核心技術抓手,以助力行業將軟件供應安全升級為數字供應鏈安全。
此外,懸鏡安全還聯合中國電信研究院、ISC互聯網安全大會發布了《數字供應鏈安全白皮書(2023)》。該白皮書是繼《軟件供應鏈安全白皮書(2021)》《軟件供應鏈安全治理與運營白皮書(2022)》后,懸鏡安全將軟件供應鏈安全概念升級,發布的國內第一個數字供應鏈安全相關報告。
在DSS 2023大會上,來自“政產學研用”各界的專家智囊、研究學者、行業領袖齊聚,就數字供應鏈風險挑戰、技術創新、安全實踐、生態建設等維度帶來精彩紛呈的主題演講。
螞蟻集團網絡安全副總經理程巖聚焦軟件供應鏈安全,分析了當下軟件供應鏈安全風險現狀,分享了螞蟻集團在軟件供應鏈安全生態構建方面的三大關鍵階段,以及關于軟件供應鏈風險治理的思路和具體實踐。
程 巖 螞蟻集團網絡安全副總經理
中信建投證券技術部技術總監張建軍立足證券行業,闡述了行業特點和由其面臨的數字供應鏈安全問題,分享了中信建投證券在開發、測試、運維等環節對應的安全工作和技術抓手以及整個供應鏈安全治理體系。
張建軍 中信建投證券技術部技術總監
中國電信研究院安全技術研究所所長何國鋒重點介紹了用高可信安全架構解決數字化時代安全問題,強調了軟件安全中心作為高可信安全體系重要組成部分對于數字供應鏈安全保障的重要性,并分享了中國電信的相關實踐。

何國鋒 中國電信研究院安全技術研究所所長
中國信息通信研究院云計算與大數據研究所所長何寶宏指出數字經濟時代軟件供應鏈安全體系建設工作需要基于“三大環節、五大模塊”開展,并呼吁上下游機構組織、企業以技術突破為核心,打造可信安全的供應鏈生態。
何寶宏 中國信息通信研究院云計算與大數據研究所所長
中國軟件評測中心信發事業部主任翟艷芬重點分享了軟件供應鏈安全能力成熟度評估模型以及供應鏈中的需求方、供應方和第三方機構如何通過評估模型分析目標的軟件供應鏈安全現狀,提高其軟件供應鏈安全能力。
翟艷芬 中國軟件評測中心信發事業部主任
平安壹錢包信息安全運營負責人汪永輝基于多年安全工作經驗,從開源組件安全痛點出發,提出了建立事前、事中、事后管理體系,加強外部開源引入的管控和攔截的實踐理念,并分享了如何在企業內部推動安全工作順利落地。
汪永輝 平安壹錢包信息安全運營負責人
中國電子技術標準化研究院云計算研究室主任楊麗蘊聚焦數字供應鏈安全標準化工作,通過分析比較國外成熟經驗,指出從SBOM出發,研制適合我國的軟件物料清單數據格式標準的重要性。
楊麗蘊 中國電子技術標準化研究院云計算研究室主任
華為云產業戰略官、華為可信供應鏈組長張銳剛介紹了開源治理面臨的產業挑戰,分享了華為云軟件工程可信體系在開源治理方面的落地實踐,幫助有效治理開源軟件資產、不斷提升對產業社區開源貢獻等。
張銳剛 華為云產業戰略官、華為可信供應鏈組長
中國軟件評測中心安全事業部副總經理秦曉磊從開源軟件漏洞實例切入,強調開源軟件漏洞的識別與修復可以有效地降低移動APP的開源安全風險,并詳細介紹了如何識別移動APP中的開源軟件并采取有效的風險管理策略。
秦曉磊 中國軟件評測中心安全事業部副總經理
某車聯網云服務提供商信息安全負責人孫權指出,在車聯網供應鏈安全體系中,數據安全面臨嚴重風險卻往往被忽視,需要從車的構造、國家的法規、人為因素角度綜合思考,提升行業數據安全意識。
孫 權 某車聯網云服務提供商信息安全負責人
中興通訊股份有限公司開源合規&安全治理總監項曙明認為,開源引入對數字供應鏈造成沖擊,為此,他分享了一系列數字供應鏈開源治理的戰略戰術以及從“三個線路”建立開源軟件數字供應鏈安全機制。
項曙明 中興通訊股份有限公司開源合規&安全治理總監
懸鏡安全COO董毅解讀了剛剛發布的《數字供應鏈安全白皮書(2023)》,他指出,白皮書詳細定義了數字供應鏈安全新概念,分析了數字供應鏈安全風險現狀,分享了數字供應鏈安全體系建設、實踐落地新思路和新方案,是企業組織進行數字供應鏈安全保障工作的指南。
董 毅 懸鏡安全COO
隨后,在由譚曉生主持的“高端圓桌論壇”上,圍繞“構建數字供應鏈安全產業創新發展新生態”主題,中國計算機學會計算機安全專業委員會榮譽主任、公安部一所和三所原所長嚴明、北京大學計算機學院網絡與信息安全實驗室主任陳鐘、開源中國CTO紅薯、賽迪賽迪顧問股份有限公司業務總經理高丹、東方通首席科學家謝耘、懸鏡安全CTO寧戈分享了各自的觀點。
未來,DSS大會將繼續攜手數字供應鏈生態上下游的機構組織和企業,持續守護中國數字供應鏈安全。