倪光南出席BCS2023信创安全论坛:供应链安全是保障开源软件安全的关键
7月7日,在BCS 2023北京网络安全大会-信创安全论坛上,中国工程院院士、中国科学院计算技术研究所研究员倪光南发表了《开源软件供应链安全》主题演讲。演讲中他表示,保障开源软件安全的关键在于保障开源供应链安全,要加强开源软件供应链基础设施平台的建设与运营。
倪光南表示,当前开源已成为商业软件的主要成分,开源成分在各行业代码库中的占比从46%-83%,总计开源成分占到了被审代码库的70%,且行业越新,比重越大,开源开始引领全球新兴信息技术的创新。
但当前国际局势动荡不安,再加上迄今为止大多数开源基金会所支持的开源项目,业界通行的开源许可证和代码托管平台等等,往往都被海外学术界和产业界所主导。
因此倪光南认为,软件安全涉及到网络安全、数据安全、信息安全、供应链安全。与专有软件相比,开源软件的代码受到全世界开发者的共同审视,其应用也得到世界上众多用户的检验,所以开源软件安全的关键,就在于保障开源供应链安全,即使是自主开发软件,也要重视开源软件供应链安全。
如何更好保护开源软件供应链安全,倪光南介绍了由中科院软件所和中科南京软件研究院联合研发的开源软件供应链基础设施平台“源图”。这是国内首个开源软件采集存储、开发测试、集成发布、运维升级等一体化设施,有效保障了我国软件供应安全、产业创新发展和开源软件供应链安全。
倪光南表示,“源图”具有合规性分析、安全性分析、可维护性分析和供应链推荐四大核心功能,凭借这些强大功能“源图”已累计获取、分析开源软件超过1000万款,构建了开源软件知识图谱,实现了软件信息、依赖关系的知识化处理,清晰展示了软件、漏洞、开发者、开发活动、开源事件等关键信息 比如在科研场景当中,“源图”已在中国科学院计算机网络信息中心进行应用,基于源图提供的API研发科研软件供应链管理工具,评估了信息、基础前沿、海洋等8个领域相关软件,优化科研软件基础设施资源池。
再比如工业软件领域,应用“源图”已经建立了包括19,313个工控物联网固件的固件分析数据集,共发现漏洞223,605个,其中高危漏洞47,479个;获得工控物联网行业原创漏洞89个,达到了业内先进水平。
最后倪光南表示,希望借助信创安全论坛的东风,在开放原子基金会、开源安全专委会等组织的协调下,联合国内安全界、开源界产学研单位,共同做好开源软件供应链安全的工作。
相关数据显示,目前我国开源软件开发者数量已经突破800万,居全球第二位。软件开发者成果需要安全保障软件业务收入首次跃上10万亿元台阶。全年累计完成软件业务收入达到108126亿元,同比增长11.2%,已成为支撑我国数字经济高质量增长的又一引擎。
(来源:信息安全与通信保密杂志社)