2024年12月25日,由中国软件评测中心(工业和信息化部软件与集成电路促进中心)、基础软件质量控制与技术评价工业和信息化部重点实验室主办的“2024‘鼎信杯’信息技术发展论坛 开源安全治理创新与实践分论坛”在北京市中关村展示中心会议中心成功举办。
本次分论坛由中国软件评测中心信发事业部副总经理曾晋博士主持,来自全国各地100余位的高校学者、企业代表及行业用户代表齐聚北京,深入探讨开源安全治理的创新方法与实践经验。
中国软件评测中心信发事业部副总经理 曾晋
中国软件评测中心副主任吴志刚到会致辞,吴主任指出,开源能够激发创新、赋能产业升级,但其面临的安全风险依然严峻,加强开源安全治理刻不容缓。吴主任肯定了软件供应链安全推进工作组在技术标准、测评规范、研究报告,以及安全信息共享等方面取得的丰硕成果,并表示开源安全治理任重道远,希望业界携手加强技术创新,提升开源软件的安全检测、漏洞预警和修复能力,实现从“事后应急”向“事前预防”的转变,强化标准规范制定,形成统一的安全规范和最佳实践,促进产业协同合作,构建开源安全生态共同体。
中国软件评测中心副主任 吴志刚
论坛首先由复旦大学陈碧欢副教授与OpenHarmony 安全委员会供应链安全工作组副组长,深圳开鸿数字产业有限公司王潮副研究员分别带来了《伏羲:软件供应链风险治理》和《OpenHarmony社区供应链安全与合规治理实践》主题演讲,分享了学术界软件供应链安全研究热点和社区管理方面的软件供应链安全实践经验。
复旦大学计算机科学技术学院副教授 陈碧欢
OpenHarmony 安全委员会供应链安全工作组副组长,深圳开鸿数字产业有限公司副研究员 王潮
中国软件评测中心开源软件供应链专家袁薇博士做了《从第三方视角看软件供应链安全保障与风险治理》的专题报告,回顾了软件供应链安全推进工作组在标准规范、测评认证、产业研究、信息共享方面的工作成果,详细报告了SBOM信息构建、开源软件供应链风险管理与服务平台等后续重点工作,后续评测中心将携手软件供应链安全推进工作组,将开源软件安全治理和软件供应链工作做深做实,共同构建良性健康的信息技术产业生态。
中国软件评测中心开源软件供应链专家 袁薇
论坛上,重点实验室常务副主任翟艳芬为第二批获得软件供应链安全能力认证的企业代表颁发了认证证书,重点实验室副主任莫映华为软件供应链安全推进工作组第三批成员单位颁发了成员单位证书。
针对企业和组织内部的源代码合规管理,开放原子开源基金会技术监督委员会主席、中国开源软件推进联盟常务副秘书长谭中意带来了《内源(InnerSource)在中国的过去、现在和未来》的主题分享,旨在促进企业内部跨部门的代码协作和质量提升。腾讯云金融云安全解决方案负责人胡宏伟、中兴通讯开源合规&安全治理总监项曙明介绍了国内头部软件企业在开源安全治理的工程实践和管理经验,现代软件企业必须建立行之有效的开源软件供应链管控流程和机制,保障软件产品全生命周期的安全可信。
开放原子开源基金会技术监督委员会主席、中国开源软件推进联盟常务副秘书长 谭中意
腾讯云金融云安全解决方案负责人 胡宏伟
中兴通讯开源合规&安全治理总监 项曙明
接下来,重点实验室软件供应链安全推进工作组依托中国软件评测中心汇众智、聚众力,全力推动我国产业界和行业用户开展开源软件安全治理和软件供应链安全保障,提升产业链供应链的韧性和安全水平,增强我国在全球开源软件供应链安全治理中的主动权,为制造强国、网络强国、数字中国建设奠定坚实基础。
第二批获得软件供应链安全能力认证的
产品和单位名单:
产品名称 | 研发单位 |
腾讯云分布式数据库TDSQL管理系统 V10.3 | 腾讯云计算(北京)有限责任公司 |
腾讯专有云TCE V3 | 腾讯云计算(北京)有限责任公司 |
腾讯专有云PaaS(Tencent Cloud-native Suite)平台[简称:Tencent TCS] V2 | 腾讯云计算(北京)有限责任公司 |
新支点服务器操作系统 [简称:NewStart CGSL] V6 | 中兴通讯股份有限公司 |
中兴TECS软件 [简称:TECS] V7.0 | 中兴通讯股份有限公司 |
中移软件大云企业操作系统欧拉版 [简称:BC-Linux for Euler] V21.10 | 中移(苏州)软件技术有限公司 |
软件供应链安全推进工作组第三批成员单位名单:
(排名不分先后,按拼音顺序排序)
北京百度网讯科技有限公司 |
北京东方通科技股份有限公司 |
北京海量数据技术股份有限公司 |
北京凝思软件股份有限公司 |
北京万里开源软件有限公司 |
杭州默安科技有限公司 |
中国联合网络通信有限公司研究院 |
中科方德软件有限公司 |
中兴通讯股份有限公司 |
文字 | 信息技术发展应用研究测评事业部
编辑 | 品牌推广室
编审 | 业务发展部
