9月19日，2023软件供应链安全创新发展论坛在北京举行。论坛由中国信通院、中国电信、中国移动、中国联通、中国铁塔主办，来自软件供应链相关的需方、供方、开源社区、科研院所、安全厂商等各方代表出席。

奇安信集团副总裁韩永刚在《构建核心关键能力，筑牢软件供应链安全底板》主题演讲中提出，通过基于信创的产品安全和内生安全框架，实现“让企业为用户提供安全、可靠产品”的目标。

软件定义一切带来数字世界快速发展的同时也带来了软件供应链的安全威胁和风险，且逐年增加。2020年底的SolarWinds事件，涉及200多个重要系统和敏感部门，影响全球20万用户；2021年底的Apache Log4j2漏洞，导致全球所有使用了该组件的应用系统均面临严重威胁。

国内的软件供应链安全问题同样不容忽视。奇安信发布的《2023中国软件供应链安全分析报告》显示，与前两年相比，开源软件包生态系统中开源项目逐年增加，但开源软件自身的安全状况持续下滑，国内企业软件开发中因使用开源软件而引入安全风险的状况更加糟糕。

根据“奇安信开源项目检测计划”的实测数据显示，三年来开源软件的总体缺陷密度和高危缺陷密度呈现出逐年上升的趋势，均处于较高水平。而反馈给开源软件维护者的1484个安全问题中，只有547个得到反馈并修复，占比仅为36.9%。

“需要以‘让企业为用户提供安全、可靠产品’为目标，打造软件供应链安全体系。”韩永刚表示，可通过基于信创的产品安全+内生安全框架，构建起供应链信任和安全的基础。

其中，SBOM是软件供应链安全的基础，需要以SBOM为抓手，针对自主研发软件和购买及定制开发的软件系统多措并举，消减其安全风险。

针对自主研发软件，需要在软件开发流程中采用源代码安全监测工具和开源安全治理工具，及时检测并修复；在产品正式发布时，还需要提取和生成SBOM，持续监测其安全漏洞等风险。其中，奇安信开源卫士可对开源组件进行成分分析，识别开源组件风险；代码卫士可分析、审计源代码成分安全性，为SBOM和软件开发提供安全支撑。

针对购买的软件产品和委托定制开发的软件系统，需要保持对软件物料透明性的高度关注，要求厂商和供应商提供SBOM，并对软件原料的安全性负责及提供后续技术支持服务；在软件日常运行过程中，也需要基于SBOM持续跟踪软件物料相关的威胁情报，及时采取安全措施，消减相关安全风险。其中，奇安信天问软件供应链安全分析系统可基于软件元素身份标注技术，能精准匹配漏洞信息，分析提取依赖关系，准确评估漏洞影响范围，主动发现威胁事件。

奇安信作为社区组长单位，一直积极参加信息通信软件供应链安全社区组织的“基于软件物料清单的软件供应链风险管理试点”项目，参与《软件供应链安全能力成熟度参考模型》（征求意见稿）内容编写，全程参加软件供应链安全中心的研究建设研讨会，完成安全中心架构规划和核心能力设计等工作。

论坛上还举行了2023年度软件供应链安全竞赛颁奖仪式。凭借对大赛的全面支持，奇安信及安全专家获得“优秀支撑单位”“优秀支撑专家”两项荣誉。