全国政协委员、安天集团创始人、首席技术架构师肖新光

一、背景

《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》第五篇“加快数字化发展 建设数字中国”中提出，“以数字化转型整体驱动生产方式、生活方式和治理方式变革”，为新时期数字化转型指明了方向。数字化转型成为国家创新发展的重要驱动力，现已进入加快数字化发展、建设数字中国的新阶段。数字化转型升级对软件的依赖度提升，软件安全变得十分重要，一旦受到影响，就会严重损害人民生产生活、社会经济活动甚至国家安全，必须尽快采取措施保障软件安全，从而保障数字化转型进程。

二、问题

保障数字化转型进程的安全面临三个挑战：

一是软件成分和依赖关系缺乏透明性。现代软件开发交付过程极为复杂，涉及到编译环境和各种类库、开源代码、公用开发包、中间件等，软件交付过程中涉及复杂的支撑关系。软件成分和依赖关系缺乏透明性以及缺少安全验证机制支撑，导致软件缺陷、隐藏威胁的影响范围难以追溯跟踪，难以有效保障软件安全设计实现正确，也难以有效支撑对突发安全事件的响应。

二是开源代码和生态风险应对能力缺乏支撑。现代软件业高度依赖于开源体系存在。开源代码及其所使用的代码托管服务已经是软件安全工程体系的重要组成部分。近年多次出现的开源软件漏洞、开源项目污染和维护者删除代码等安全事件，时而引发连锁问题。相关国家将开源平台作为制裁他国之手段的情况更值得关注警惕。

三是软件开发安全标准规范落后，无法覆盖全生命周期。目前已经（或即将）实施、采纳的相关安全标准和规范尚无法覆盖软件安全工程的全生命周期，在软件规划、需求定义、设计开发和对应的测试验证环节仍有极大提升空间。针对软件安全的保障机制和标准尚未形成统一体系，寻求达成数字化转型的快速、持续和安全的交付面临严峻挑战。

三、建议

针对以上问题，提出如下建议：

一是强化软件供应链的透明化要求。建议主管部门牵头，建立对重点行业领域推动软件供应链透明化机制，同时将对应的检测与验证能力作为关键软件、设备和系统的强制要求。针对相关服务提供商制定安全监管要求和标准，确保软件产品（工件、制品）所用开源代码、第三方库等成分透明化，对这些源码进行安全性和合规性的评估，确保在发现开源代码、第三方库等安全漏洞时，能够对其影响范围进行追踪和排查；对应用软件发布版本增加强制性签名要求，将内置恶意代码防护以及对威胁可溯源性的支撑要求变成强制要求。

二是推动系列强化开源和软件生态安全专项工程。建议工业和信息化部在加快软件业开源生态构建的同时，推动软件安全工程配套的开源软件生态的全面境内镜像化专项工程（可用性保障），并建立对应安全监测机制。利用国家算力枢纽，由国家出资或补助，各级企业技术中心和工程技术研究中心参与，建设并主动管理源代码库，实现开源代码/功能模块持续可用保障，对关键项目进行持续代码审计与安全检测，全面评估其质量和安全性，建立配套的自动化、持续的风险监控机制。

三是制定以软件安全保障为首要目标的系列工程推荐标准和强制要求。建议工业和信息化部成立专门责任机构，通过资源配置引导、标准指南制定等措施，推动安全保障优先的安全软件工程SecDevOps方法成为软件开发的通用实践，将共性安全设计、通用安全模块和配套检验方法的工程实践标准化。由各级企业技术中心和工程技术研究中心配合责任机构，从工程实践中总结最佳实践形成试点示范，通过推广试点示范项目、安全投入加计扣除等机制，加快软件开发全生命周期安全防护能力的落实速度。

（说明：本提案是肖新光本届两会提案《关于加强IT供应链网络安全能力的提案》的关联提案）