隨著

一、? ? ? ? 大會(huì)背景

數(shù)字化進(jìn)程的加快，軟件已經(jīng)成為國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)和整個(gè)國(guó)民經(jīng)濟(jì)信息化發(fā)展的戰(zhàn)略支點(diǎn)，軟件安全的重要程度已經(jīng)日益凸顯，軟件安全事關(guān)國(guó)家信息安全戰(zhàn)略!

隨著軟件產(chǎn)業(yè)的快速發(fā)展，軟件供應(yīng)鏈也越發(fā)復(fù)雜多元，復(fù)雜的軟件供應(yīng)鏈會(huì)引入一系列的安全問(wèn)題，導(dǎo)致信息系統(tǒng)的整體安全防護(hù)難度越來(lái)越大。近年來(lái)，針對(duì)軟件供應(yīng)鏈的安全攻擊事件一直呈快速增長(zhǎng)態(tài)勢(shì)，造成的危害也越來(lái)越嚴(yán)重。

2020年2月，Apache Tomcat存在文件包含漏洞，該漏洞可以造成Tomcat上所有重要配置文件或源代碼等敏感信息泄露。2021年4月，軟件測(cè)試工具codecov被植入惡意代碼，影響全球2.9萬(wàn)名客戶(hù)，包括谷歌、IBM、寶潔等多家知名企業(yè)。2021年11月，攻擊者利用 SonarQube 漏洞盜取國(guó)內(nèi)多個(gè)機(jī)構(gòu)的大量源碼，涉及我國(guó)數(shù)十家重要企業(yè)單位的應(yīng)用代碼。

為保障我國(guó)網(wǎng)絡(luò)安全和軟件供應(yīng)鏈安全，國(guó)家相繼出臺(tái)了《網(wǎng)絡(luò)安全審查辦法》《關(guān)于規(guī)范金融業(yè)開(kāi)源技術(shù)應(yīng)用與發(fā)展的意見(jiàn)》《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》等一系列法律法規(guī)，保障軟件供應(yīng)鏈安全健康、持久的發(fā)展。面對(duì)新的政策要求和行業(yè)態(tài)勢(shì)，如何防范軟件供應(yīng)鏈風(fēng)險(xiǎn)，打造安全、健康的軟件供應(yīng)鏈生態(tài)，是我們每個(gè)行業(yè)從業(yè)者需要考慮的問(wèn)題。

2021歲末之際，在深圳市網(wǎng)絡(luò)與信息安全行業(yè)協(xié)會(huì)（擬邀請(qǐng)）指導(dǎo)下，由OWASP中國(guó)主辦的“2021軟件開(kāi)發(fā)與供應(yīng)鏈安全技術(shù)論壇”將于2021年12月18日在深圳市星河藝術(shù)中心舉辦。

二、??????? 論壇介紹

1.??????????? 名稱(chēng)：2021軟件開(kāi)發(fā)與供應(yīng)鏈安全技術(shù)論壇

2.??????????? 論壇主題：外防內(nèi)治，貫穿始終

3.??????????? 時(shí)間：2021年12月18日（周六）14:00-18:00

4.??????????? 地點(diǎn)：星河藝術(shù)中心

5.? ? ? ? ? ? 規(guī)模：100人

三、??????? 組織機(jī)構(gòu)

1.???? 指導(dǎo)單位：深圳市網(wǎng)絡(luò)與信息安全行業(yè)協(xié)會(huì)

2.???? 主辦單位：OWASP中國(guó)

3.???? 協(xié)辦單位：OWASP中國(guó)廣東分會(huì)、網(wǎng)安加學(xué)院

4.???? 贊助單位：開(kāi)源網(wǎng)安

四、? ? ? ? 專(zhuān)題介紹

專(zhuān)題·供應(yīng)鏈安全 | 軟件供應(yīng)鏈安全及防護(hù)工具研究

吳江偉

中國(guó)信息通信研究院云計(jì)算與大數(shù)據(jù)研究所云計(jì)算部工程師

?

軟件供應(yīng)鏈安全指軟件供應(yīng)鏈上軟件設(shè)計(jì)與開(kāi)發(fā)的各個(gè)階段中來(lái)自本身的編碼過(guò)程、工具、設(shè)備或供應(yīng)鏈上游的代碼、模塊和服務(wù)的安全，以及軟件交付渠道安全的總和。相比傳統(tǒng)針對(duì)軟件自身安全漏洞的攻擊，針對(duì)軟件供應(yīng)鏈，受攻擊面由軟件自身擴(kuò)展為了軟件自身內(nèi)部的所有代碼、模塊和服務(wù)及與這些模塊、服務(wù)相關(guān)的供應(yīng)鏈上游供應(yīng)商的編碼過(guò)程、開(kāi)發(fā)工具、設(shè)備，顯著降低了攻擊者的攻擊難度。

本次議題從軟件供應(yīng)鏈安全挑戰(zhàn)、軟件供應(yīng)鏈安全防護(hù)工具、軟件供應(yīng)鏈安全研究建議等多個(gè)維度闡述軟件供應(yīng)鏈安全。