开源网安受邀参与第十九届中国国际软件合作洽谈会

2022-01-18 14:40

2022年1月12日,由成都市人民政府、四川省经济和信息化厅、电子科技大学、中国电子信息产业发展研究院、中国电子信息行业联合会主办,成都市经济和信息化局、成都市博览局、成都高新技术产业开发区管理委员会承办的第十九届中国国际软件合作洽谈会(以下简称:软洽会)在成都世纪城国际会议中心隆重举行。本届软洽会以“机遇·理念·共赢”为主题,紧扣国家战略,举行高端工业软件专题会议,交流工业软件协同攻关成果,分享典型工业软件应用案例建设。



结合成都网络安全产业发展情况,聚焦和探讨数字化转型期,构建新一代安全能力框架,提升网络安全能力、网络空间战略与治理、关键信息基础设施安全防护、大数据安全、5G安全与发展等的作用和意义。网络信息安全专题会议于2022年1月13日成功举行。开源网安受邀参会,与政府领导、专家学者、技术精英及企业代表汇聚一堂,聚焦软件技术创新,探讨软件产业高质量发展的有效途径。会上开源网安西南营销中心技术总监林华志以“工业软件安全风险与安全检测对策”为题,发表精彩主题演讲。



随着软件定义一切时代的来临,软件供应链安全成为国家关注热点。当前,全球范围内软件供应链安全事件频发,网络攻击等威胁加剧。开源软件的广泛使用,使我国工业软件面临着极大的风险,这些威胁风险不仅会极大制约我国工业企业的信息化建设进度,严重则会带来重大生产事故和经济损失,甚至危害到社会稳定和国家安全。如何保障工业软件供应链安全,林华志提出了几点建议。





工业软件安全检测对策





首先,工业企业要建立和完善S-SDLC软件安全开发生命周期管理流程。从培训、需求、设计、开发、测试、上线、到应急响应各阶段,运用行业软件安全开发最佳实践,构建标准、完善和适用的软件安全开发流程,变被动防御为主动,实现安全的“左移前置”。


其次,工业企业要构建SBOM(软件物料清单),摸清自身的软件家底,做到软件资产透明化,而且要采用专业工具进行开源组件治理和管控,除了可以对风险组件进行预警,还可以在发生安全事件的时候,第一时间进行排查和修复,有助于建立起软件供应链的管控机制和对开源软件实施有效治理。


此外,工业企业要采用专业工具和服务实现对软件的代码审查和缺陷检测,这些可以帮助企业通过在编码阶段分析应用程序的源代码来发现程序代码存在的安全漏洞,自动且高效地在软件编码阶段发现代码中存在的安全漏洞,从而避免软件“带病上场”;同时,工业企业可以采用专业工具进行未知漏洞的检测,例如使用模糊测试技术,通过算法生成测试用例,可以检测程序或软件可能产生的错误或漏洞,从而提高整体效率。



作为专注软件安全领域的先行者,开源网安自2013年成立以来,致力于帮助企业交付更安全的软件,为软件安全开发提供全方位的服务,包括:产品工具、解决方案、服务、培训等。未来,开源网安将继续坚持“执着专注、精益求精、一丝不苟、追求卓越”的工匠精神,以捍卫中国软件安全为使命,坚实持续的做好国内软件安全领域的领导者。