2月16日，由中国信息通信研究院、中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国铁塔股份有限公司主办，信息通信软件供应链安全社区承办的首届ICT软件供应链安全治理论坛暨社区第二届成员大会在北京成功举办。本次活动聚集了政府机构、运营商、高校院所、网络安全头部厂商等行业重要代表，为软件供应链安全领域献上一场思想盛宴。会上，默安科技获得多项认可。

● 默安科技政府行业软件供应链安全治理解决方案、软件供应链安全检查工具箱分别入选“优秀治理实践成果”和“自主研发创新成果”。

● 默安科技荣获社区2022年“优秀成员单位”奖。

● 默安科技董事兼副总裁沈锡镛、解决方案架构师孟瑾荣获“社区年度优秀专家”称号。

图 大会颁奖典礼（左四为默安科技代表）

在“打造供应链评估体系 应对安全威胁挑战”分论坛中，默安科技董事、副总裁沈锡镛就《软件供应链安全风险及治理实践》发表主题演讲。沈总的演讲从软件供应链安全挑战、软件供应链构成环节、安全保护环节、软件供应链安全核心关注和保护框架、软件供应链各行业的风险场景、默安科技治理实践方案等方面展开。

图 默安科技副总裁沈锡镛发表主题演讲

沈总介绍了软件供应链各环节主要存在的安全风险及治理方案。他认为，软件供应链安全保护涉及供应链引入、软件生产和软件应用三个主要环节。

在软件准入——定制开发验收环节，软件开发过程中存在安全缺失，主要包括用户方提不出定制部分的对应安全需求，开发方缺失定制部分的安全设计、安全编码和安全测试环节，以及现有上线前代码审计及渗透测试无法覆盖安全架构问题。在软件上线应用环节存在安全运行风险，主要包括攻防演练常态化带来的供应链打击的压力，关键业务突发0day或紧急漏洞应急响应，软件内部成分图谱不清晰导致事件无法快速准确定位。基于此，默安科技提出一整套定制开发软件SDL咨询及测评服务方案，覆盖需求分析阶段、软件设计阶段、编码阶段、测试阶段和上线运营各个阶段。

在软件生产——自研开发&外包开发环节，默安科技从保护内容、保护思路、供应链安全风险评估平台、开发安全中台和流程规范等角度，提出软件供应链纵深安全防御体系。此外，针对外包开发安全现状，默安科技也从安全机制、软件来源、软件安全性、安全责任、SBOM和运行监控等六大维度提出外包开发安全评估整体业务模型。

最后，沈总结合案例实践分享了默安科技在软件供应链安全的治理方案。在某大型集团案例中，针对该客户业务部署层级多的特点，默安科技建立了一、二级供应链资产管理机制，形成集团全量业务统一供应链安全风险图谱，并通过自动化完成漏洞影响面分析及漏洞可利用验证，将紧急漏洞应急响应时间从1周缩短至1天。

图 圆桌论坛现场（右一为默安科技副总裁沈锡镛）

大会还进行了以“新形势下软件供应链安全风险及应对”为主题的圆桌论坛，沈总就软件供应链安全现状、软件供应链安全生态建设等问题与大家展开交流和分享。谈及软件供应链安全现状，沈总从存量应用和增量应用两种场景出发，指出存量应用系统面临的是软件供应链风险的问题，供应链投毒、钓鱼、数据泄露等事件频发，如何在不影响业务的情况下，对存量系统的供应链风险进行摸排，是一个重要问题；而增量应用，需要深入应用开发生命周期，在需求、设计、编码、测试等环节，从安全视角增加安全策略，从而减少应用交付时的漏洞和风险。

此次大会获奖，代表着业界对默安科技在软件供应链安全领域的创新实力和行业贡献的高度认可。作为国内率先推出完整开发安全工具链、平台与服务的创新型安全厂商，默安科技在软件供应链安全方面具有十分深厚的技术积累与项目建设经验。未来，默安科技将继续深耕优势领域，为推动提升行业软件供应链安全治理水平贡献更多力量。

据悉，信息通信软件供应链安全社区是在工业和信息化部网络安全管理局指导下，由中国信息通信研究院、中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国铁塔股份有限公司等共同发起筹建，致力于软件供给过程的安全生态建设，为产业链、供应链各相关方等提供研讨、研发、协作、共治的平台。