360杜跃进ISC演讲：保障信创软件的可信性和安全性是信创安全体系的基础

“信创软件安全是基础性问题，也是当前最需要补的短板。” 近日，在ISC联合峰会——信创安全协同创新峰会上，大数据协同安全技术国家工程研究中心常务副主任、信创安全技术委员会主任、360集团副总裁、首席安全官杜跃进发表主题演讲。他表示，保障信创软件的可信性和安全性是整个信创安全体系的基础，“护航计划”2021（首届）信创关键产品安全挑战赛发现了信创产品大量的安全性问题和漏洞风险，暴露出信创产品安全性较弱。

杜跃进指出，信创软件供应链安全风险主要表现在意识和实战不足。第一，信创软件在设计开发阶段未充分考虑安全问题，“安全开发”的意识尚不普及；第二，信创产品的安全测试重视不够，信创产品尚未经过大规模的实战检验；第三，信创软件在开发过程中大量依赖开源组件，对于软件使用的开源成分不了解，开源依赖库安全状况不清楚，漏洞影响范围不明确等问题，将给信创软件带来更多的安全风险；第四，受开源社区活跃度影响或者国际关系制约，信创软件的底层架构可能面临断供的风险；第五，抵触安全行业发现安全隐患的现象还比较普遍，“捂盖子”心态不利于及时发现风险；第六，国家法律已经对产品安全提出要求，但很多厂商还未意识到。

目前，相关部门已经对信创软件安全提出了要求，发文推动提升软件安全性与漏洞响应。杜跃进介绍道，2021年7月，工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》，第一次发布了对供应商产品安全提出要求的法律，这意味着，信创产品供应商要为自己的产品安全承担责任，对信创用户的安全，供应商也将承担连带责任。

在以上安全风险中，开源带来的安全问题尤其需要重视。Synopsys《2022开源安全和风险分析报告》指出，97％的代码仓库包含开源，81％的开源代码库至少含有一个漏洞。

为此，360推出了开源软件安全分析与治理平台，赋能信创产品供应商及信创用户，帮助其了解使用的组件成份、依赖库安全状况、供应链漏洞影响范围及开源库法律风险等。

此外，为汇聚网络安全精锐力量，助力信创产业安全发展，信创安全技术委员会在去年发起“护航计划”。包括开展信创关键产品安全挑战赛，助力企业及时发现漏洞、修复漏洞；联合经开区、国家信创园等成立信创安全联合实验室，探索和验证特定行业/场景下信创安全解决方案；成立信创安全人才培养与技术创新联盟，助力培养大量实用型、实战型的信创安全人才队伍；发起信创安全公益支持项目，促进政产学研用形成合力等。

本文源自金融界资讯