演讲路透（一）2023数字供应链安全大会（DSS2023）

何宝宏 现任中国信息通信研究院云计算与大数据研究所所长，中国通信标准化协会互联网与应用工作委员会主席，从事互联网技术、标准、产业和政策等研究20余年，主笔或牵头完成了100余项行业或国家标准，主导完成10余项国际标准，获得10余项发明专利，主持完成多项国家级科研项目。

数字经济时代软件供应链安全体系建设

主题简介：当前，我国数字经济蓬勃发展，软件作为新一代信息技术的灵魂，是数字经济发展的基础，是制造强国、网络强国、数字中国建设的关键支撑。近年来，随着软件技术的飞速发展和应用场景的不断增加，软件设计开发复杂度陡增，软件供应链愈发复杂，全链路安全防护难度不断加大。建设软件供应链安全体系成为业界关注焦点，也成为企业共同诉求。

本次分享将聚焦软件供应链安全体系建设，首先明确软件供应链安全基本概念，梳理全球软件供应链安全政策法规与工作现状，其次将围绕软件供应链本质，从供需双方视角出发，针对软件供应链全生命周期，提出安全体系建设建议，明确工作重点，最后针对行业治理现状进行洞察分析，展望未来发展趋势。

翟艳芬，高级工程师，硕士，现任中国软件评测中心-信息技术发展研究测评事业部主任、工信部基础软件质量控制与技术评价重点实验室副主任，长期从事信创领域相关产业研究和测评工作。担任“核高基”、“高质量专项”多个项目负责人，作为主要编制人之一，参与起草了信息技术安全可控、信息技术应用创新相关国家标准、团体标准，组织实施过多项大型应用系统第三方验收测试工作。

聚焦软件供应链 构筑安全治理体系

主题简介：软件是新一代信息技术的灵魂，是数字经济发展的基础，是制造强国、网络强国、数字中国建设的关键支撑。近年来，软件特别是开源供应链安全事件频发，软件漏洞传播失控、许可证授权冲突和停止更新服务等诸多供应链安全风险被广为关注。作为第三方技术服务机构，我们积极参与国家相关标准的制定，参考国家标准，分别针对需方和供方，从组织管理和供应活动管理的角度提出了一套软件供应链安全能力成熟度评估方法，该评估方法将帮助软件供应商和用户单位摸清自身的软件供应链安全能力，并为其开展软件供应链安全保障活动提供技术参考。

长期从事信息技术领域标准化工作，主持推进云计算国家标准制修订、开源标准化研究等工作，牵头开展云计算综合标准化体系建设及指南制定，主导和参与20余项术语、参考架构、云原生、边缘云、云际、中间件、运营交付、企业上云等国家标准、行业标准以及云计算开源技术团体标准，推动发起制定我国云原生、边缘云、开源许可证等一批前沿领域的首个国家标准计划。国内自主木兰开源社区和木兰开源许可证的核心发起人和主导人之一，牵头推进开源社区建设运营及相关标准化和技术研究工作。

开源软件供应链标准化的实践

主题简介：随着数字化转型进程的推进，软件行业快速发展。当前，开源作为软件开发的主流趋势，已成为新兴技术的主要承载方式，推动和促进了技术的发展。然而，对于开源软件供应链的管理和安全，还存在许多问题。在这个背景下，对于标准化的探索和实践成为紧迫的问题。

此次分享首先简述开源软件供应链的概念和重要性，以及其面临的主要挑战，特别是在安全、管理和参与方能力要求等方面。

然后，介绍当前国内外对于开源软件供应链的研究和实践情况。在国际范围内，美国、欧洲等地已开展了一系列相关活动，他们对供应链的管理和保障机制进行了多方面的探索与试验。国内，伴随着中国数字化和网络化的步伐加快，开源技术及其供应链的相关研究和实践也越发活跃，一些研究机构和企业投入了大量的资源参与此方面的研究，也试图通过实践来推动供应链的标准化。

此外，还探讨对标准化推进起到关键作用的因素。在结束时，将提出供应链标准化的前景和预期。

通过本分享，希望能引发更多参与者对开源软件供应链标准化的深入理解和广泛讨论，推动其在供应链安全和管理的实践中发挥更大作用。

蚂蚁集团网络安全副总经理，主要负责蚂蚁集团安全防御体系、供应链安全体系和应用安全体系的规划、建设与保障，具有13+年大型企业甲方安全建设经历，在应用安全、基础设施安全、云安全、供应链安全、区块链安全、攻防对抗、应急响应、安全治理等领域拥有丰富经验。

蚂蚁集团软件供应链安全实践

主题简介：软件供应链威胁具有攻击门槛低、影响范围广、攻击方式隐秘和危害大的特性，已经成为近年来最具有影响力的高级威胁之一。金融行业在数字化转型中，面对未知、不确定性、随时的软件供应链攻击威胁，且安全与稳定都是重中之重，企业如何系统性建设软件供应链安全体系以抵抗供应链安全威胁？

本次议题主要介绍蚂蚁集团软件供应链安全体系的建设思考与探索，并重点分享我们在“让安全满意、让研发爽”理念下的供应链安全实践。