演讲路透（二）2023数字供应链安全大会（DSS2023）

严明，公安部三所、一所原所长，一级警监，研究员。曾任国家反计算机入侵与防病毒研究中心主任，中国计算机学会计算机安全专业委员会主任，现担任多处国家、政府等机构的顾问和专家等职务，计算机安全专业委员会荣誉主任。曾主持多项国家级高技术建设项目、国家十五公关项目和国家八六三等项目。

研究方向：网络安全与信息化，公安科技等

多次获得国家级与部级、局级科技进步奖。

秦晓磊，工业和信息化部网络安全威胁和漏洞信息共享平台移动互联网APP产品安全漏洞专业库负责人，中国软件评测中心安全事业部副总经理，长期从事网络和数据安全管理和技术工作，在网络产品安全漏洞相关工作中具有丰富的安全监管经验，作为嘉宾出席过多次国家级安全会议、担任过国家级安全赛事的专家。

移动APP中的开源软件风险

主题简介：近年来，由于开源项目透明性，越来越多的开发者愿意使用开源软件。尽管开源软件有很多好处，例如提高灵活性和节省成本，但它也可能带来新的安全风险。安卓作为开源系统，具备一定的开放性和复杂性，目前已经成为全球最流行的移动操作系统之一，APP网络产品提供者会使用大量的开源软件，同时因为开源软件缺乏支持和维护带来的各种风险、APP产品也会面临越来越多的安全漏洞风险。本次议题将会从开源软件风险，聚焦APP开源软件漏洞实例、介绍CAPPVD漏洞库对相关漏洞产品提供者的漏洞修复要求等方面与大家一起探讨。

何国锋， 博士、教授级高级工程师，中国电信研究院安全技术研究所所长。持有CISSP，CSA CCSK，CISP认证。C-CSA SASE工作组组长，中国电信科技委安全专家、上海市科委科技专家，中国通信学会科技专家、上海市通信学会安全专委会委员、密码学会大数据和人工智能委员会委员、工业互联网联盟安全组副主席。主要研究网络安全、移动安全、应用安全、开发安全、PKI体系等。一直在网络通信、云计算、网络与信息安全等领域工作，有相当丰富的网络建设、系统运营、软件开发与信息安全的专业经验。

打造软件安全中心，保障数字供应链安全

主题简介：随着数字化不断深入，加之全球网络冲突加剧，传统网络安全战略无法持续。应着力打造具有健壮可信，自主免疫、自适弹性的内生网络安全体系。其中构建软件安全中心是内生安全体系的关键。中国电信围绕着软件安全中心+3大主要平台的安全新架构，在提升技术检测手段、加强规范管理制度建设，配合体系平台落地3个方向做出探索与实践。致力于聚焦行业软件供应链安全治理面临的突出问题，助力顶层设计和统筹规划，共创行业安全生态繁荣。

张建军，近25年证券行业网络安全工作经验，全面负责中信建投证券网络安全工作。

证券行业软件供应链安全探索与实践

主题简介：

证券行业的软件供应链具有复杂程度高、业务连续性要求高、数据价值高、行业监管严格等特点。随着软件供应链攻击事件频发，软件供应链安全当前已经成为网络安全热点问题。中信建投证券作为一家头部券商，面对软件供应链安全的挑战，以DevSecOps体系为指导，从管理规范、第三方（供应商、组件）准入、软件开发生命周期安全管理、自动化检测技术等方面进行探索和实践。

项曙明，中兴通讯开源合规&安全治理总监、ECPOC、在开源许可证合规、EAR合规、开源安全管控和风险应对等领域具有丰富的实践经验。资深产品经理、研发过程改进专家、资深合规专家，长期从事企业级产品经营、研发过程、规范制定及过程管控系统的研究与建设，致力于企业级开源可信供应链管控机制的建设与落地运营。

信通院可信开源供应链资深咨询评估师、开源治理标准专家、信通院2022年度优秀标准专家、可信开源治理讲师、金融开源治理社区技术专家。开源设正式成员，2022年中国开源先锋33人之心尖上的开源人物。

企业数字供应链开源治理探索

企业供应链数字化的特点是数据化与数字化、网络化与互联互通、自动化与智能化、可追溯和透明，其贯穿整个企业经营的全流程，可为企业经营全方位流程监控、决策支持和业务运营。

它包括三部分，一是外部物料的选型引入，二是外部物料及企业自身生产相关物料流转和过程控制，三是物料的合同执行和售后运维。硬件、商采软件由供应商管理和商采合同确保物料引入，研发、生产和运维的供应链数字化是企业必须修炼的内功，但是传统上来说，这些物料均能找到供应商和相应负责的产品团队。

开源生态的蓬勃发展，软硬件开源使企业供应链极大丰富，但是也增加了企业供应链数字化及经营管控的难度。该演讲着眼没有商采合同保证合规、安全的开源和第三方软件进入企业供应链后，企业该如何在选型、生产使用及分发运维层面构建企业数字供应链，消除企业开源合规和安全治理风险，确保最终输出的产品物料合规、安全并能在风险出现时有效应对方面所做的探索实践，为企业数字供应链建设添砖加瓦，也希望对业界同仁能有所启发和参考。