8月25日,，大灣區(qū)（廣州）信息技術(shù)高質(zhì)量發(fā)展與網(wǎng)絡(luò)安全論壇順利召開,。會(huì)議上,，工業(yè)和信息化部電子第五研究所針對(duì)軟件供應(yīng)鏈現(xiàn)狀,，發(fā)布了《先進(jìn)軟件供應(yīng)鏈管理（2022）白皮書》（征求意見版）,，旨在推動(dòng)自主可控軟件體系的供應(yīng)鏈安全與發(fā)展,，提升軟件產(chǎn)業(yè)鏈現(xiàn)代化水平,。

按照“十四五”《軟件和信息技術(shù)服務(wù)業(yè)發(fā)展規(guī)劃》中加速“補(bǔ)短板,、鍛長(zhǎng)板,、優(yōu)服務(wù)”的要求，工業(yè)和信息化部電子第五研究所牽頭30家企業(yè)開展先進(jìn)軟件供應(yīng)鏈領(lǐng)域研究,，提出了我國(guó)軟件產(chǎn)業(yè)的發(fā)展建議,。

本次發(fā)布的白皮書中,，重點(diǎn)梳理了專有軟件供應(yīng)鏈定義及內(nèi)涵，介紹了軟件供應(yīng)鏈安全門類和現(xiàn)狀,。會(huì)議中,，工業(yè)和信息化部電子第五研究所專家柴思躍博士對(duì)白皮書中部分熱點(diǎn)問題進(jìn)行了解讀。

他指出,，軟件供應(yīng)鏈?zhǔn)菍⒃创a,、組件、運(yùn)行環(huán)境,、知識(shí)產(chǎn)權(quán)等轉(zhuǎn)化為面向應(yīng)用需求的特定產(chǎn)品或服務(wù),，通過線上或線下軟件交付渠道集合，完成交付并持續(xù)運(yùn)營(yíng)的供給活動(dòng),。形成了由必要供應(yīng)方,、中間人和第三方服務(wù)提供商共同組成的多級(jí)網(wǎng)鏈狀供需架構(gòu)。

軟件供應(yīng)鏈存在組織,、技術(shù),、人才、資金,、信息等各維度供需模式,。供應(yīng)鏈安全風(fēng)險(xiǎn)問題尤為突出，目前已收錄軟件質(zhì)量缺陷與安全漏洞超過18萬個(gè),，其中CVE已知漏洞被利用情況僅是冰山一角,，開源軟件供給生態(tài)復(fù)雜，主流開源生態(tài)中項(xiàng)目版本數(shù)量遠(yuǎn)超公開項(xiàng)目數(shù)量,，亟需體系化推進(jìn)產(chǎn)業(yè)級(jí)開源治理,。此外，開源知識(shí)存在產(chǎn)權(quán)濫用情況,，300種開源許可證中僅“木蘭”許可為自主協(xié)議,。

柴博士在軟件供應(yīng)鏈產(chǎn)業(yè)發(fā)展方面提出三點(diǎn)建議，一是關(guān)注美國(guó)對(duì)ICT供應(yīng)鏈停服,、斷供等政策風(fēng)險(xiǎn),，重視評(píng)估NIST、ISO等供應(yīng)鏈標(biāo)準(zhǔn)風(fēng)險(xiǎn)和國(guó)外DevSecOps類軟件數(shù)據(jù)安全風(fēng)險(xiǎn),；二是加快推動(dòng)我國(guó)自主軟件供應(yīng)鏈標(biāo)準(zhǔn)體系研發(fā)進(jìn)程,，以應(yīng)用為牽引，優(yōu)化自主軟件供應(yīng)鏈評(píng)價(jià)指標(biāo),；三是加快提升產(chǎn)業(yè)級(jí)軟件供應(yīng)鏈公共服務(wù)能力,。

同時(shí)，在供需兩側(cè)供應(yīng)鏈管理層面也提出兩點(diǎn)建議,，一是信息技術(shù)企業(yè)應(yīng)合理使用開源和第三方創(chuàng)新,、正確評(píng)估和管理軟件供應(yīng)鏈風(fēng)險(xiǎn)、比競(jìng)爭(zhēng)對(duì)手更快地發(fā)布更高質(zhì)量代碼,；二是用戶單位應(yīng)建立軟件供應(yīng)鏈風(fēng)險(xiǎn)管理制度,、評(píng)估現(xiàn)有體系下的軟件供應(yīng)鏈風(fēng)險(xiǎn)、有效開展內(nèi)部軟件全生命周期管理,、實(shí)現(xiàn)軟件生命周期信息可追溯,、實(shí)現(xiàn)風(fēng)險(xiǎn)漏洞的快速響應(yīng)可處置。

白皮書征求意見稿旨在保障軟件和信息技術(shù)產(chǎn)業(yè)鏈供應(yīng)鏈穩(wěn)定,，提升軟件供應(yīng)鏈安全與合規(guī)管理水平,。后續(xù)白皮書會(huì)繼續(xù)邀請(qǐng)業(yè)內(nèi)專家，歡迎更多企業(yè)加入推進(jìn)軟件供應(yīng)鏈高質(zhì)量發(fā)展,。