中移杭研及信安中心聯合申報項目獲社區評優推廣案例評分第一名

2023年8月15日，基于軟件物料清單的軟件供應鏈風險管理試點結果正式公布結果。30余家報名單位中共有13個試點項目進入終審，評審團從11個維度對各參評試點方案進行詳細考察。結合初審情況，綜合評分前8名的項目入選信息通信軟件供應鏈安全社區評優推廣案例。中移（杭州）信息技術有限公司（下稱中移杭研）及中國移動信息安全管理與運行中心聯合申報的“基于SBOM的全生命周期軟件風險治理”項目獲得綜合評分第一名。

洞察軟件供應鏈安全痛點，打造全生命周期治理方案

開源技術蓬勃發展，已成為數字化轉型的核動力，為軟件賦能經濟高質量發展提供了基礎底座。高速的發展也帶來的巨大的安全隱患，主要體現在：開源軟件安全性無保障，漏洞多；漏洞具有“攻擊一點，傷及一片”問題；軟件存在知識產權風險。黨的二十大報告中強調“著力提升產業鏈供應鏈韌性和安全水平”，軟件供應鏈安全風險不但會直接影響關鍵基礎設施和數字經濟安全，甚至會對國家安全產生威脅。

中移杭研針對開源軟件在企業內“理不清”、“看不見”、“找不到”等現象，自研守望者·清源平臺，提供軟件物料清單（SBOM）分析、安全漏洞和開源許可等檢測功能。通過標準規范、源頭治理、過程治理、動態監測等方法，探索出開源軟件從選型、使用、維護到退出的全生命周期治理實踐。

以科技創新為核心驅動力，以高質量發展為首要任務

守望者·清源平臺提供軟件成分自動化識別、可視化的技術能力。實現對源碼和二進制包“一鍵式”的全量軟件成分分析，并以“最小元素”的形式輸出軟件成分全量樹。平臺以軟件物料清單為基礎，首創軟件成分動態化監測實踐，實現降本增效。首創軟件成分識別與安全檢測分離技術，打通軟件物料清單上下游完整性驗證。利用開源軟件補丁定位技術提升補丁版本的準確率。

守望者·清源平臺與行業的安全研發流程（DevSecOps/SDLC）能夠實現無縫融合。通過“2+3+5”技術架構，實現安全6性目標，打造軟件供應鏈治理流程化、標準化機制，樹立軟件供應鏈安全治理實踐的行業標桿。已建設豐富的安全漏洞庫，組件數量和漏洞數量在行業第一梯隊。

未來的軟件供應鏈安全領域必將面臨著更加嚴峻的挑戰。中移杭研持續進行技術及制度創新，總結提煉平臺使用經驗，配合社區推進相關標準規范制定和完善，豐富更新“軟件物料清單實踐指南”，推進軟件供應鏈上下游共建積極防御體系，推動網絡安全產業高質量發展！