近日，由默安科技主办的制造业数字化转型安全建设交流分享会在重庆成功举办。默安科技与当地汽车企业及智能制造企业代表一起，围绕制造业数字化转型安全建设的主题展开共同探讨。

默安科技董事、副总裁沈锡镛带来《新形势下网络安全政策及标准风口》的主题分享。沈总首先从环境、技术和政策的角度，分析了制造业面临的网络安全新形势。接着，沈总主要介绍了软件供应链安全相关标准动向。云大所牵头开展编写的国标《信息安全技术软件产品开源代码安全评价方法》聚焦软件产品中开源代码的安全性，提供一套评价指标体系，包括代码来源、代码质量、知识产权可控性以及产品成熟度；中国信息安全测评中心（国测）牵头开展编写的国标《信息安全技术软件供应链安全要求》，覆盖软件供应链供需双方以及供应链全生命周期，明确了提升软件供应链韧性、安全性、合规性的安全目标，规定了软件供应链风险管理、组织管理和供应活动管理的安全要求和控制措施；工信部信通院安全所牵头开展编写的行标《软件供应商供应链安全能力成熟度评估准则（草案）》，从供应链生命周期安全管控能力和供应链安全保障能力两个维度对供应商的供应链安全能力进行评估，是目前最为全面的软件供应链安全标准。沈总还介绍了云安全相关的行业标准和评估内容。

图 软件供应商供应链安全能力成熟度评估标准

最后，沈总就各个行业依托标准的落地实践情况进行阐述。在运营商行业，深入开发过程、重点治理增量软件的开源组件漏洞。在能源行业，关注存量系统的供应链图谱梳理和漏洞快速应急响应。在制造业，实行开发安全和供应链治理两手抓，针对存量软件进行成分摸排，同时针对自研可控的增量软件通过开发安全严格把控软件安全质量。在智能汽车行业，关注云安全配置核查和持续安全运营，微隔离、威胁狩猎、欺骗防御等技术在云原生安全防护体系中落地并发挥重要作用。

图 开源软件治理平台示意图

中国长安汽车集团有限公司信息安全总监李鹏就《业务应用安全实践》展开分享。李鹏首先指出，根据长安数字化转型顶层设计，数字化转型分“起跑期、攻坚期、发展期”三个阶段推进，2022年是长安数字化转型元年，业务和数字化转型“两手抓两手硬”逐渐成为共识，数字化转型步入“快车道”。软件作为数字化转型的承载方式，与业务深度融合；软件安全是业务连续性、可靠性的重要保证，而开发安全是保证软件安全的根本手段。李鹏结合现状问题、未来挑战、行业发展和贯标结果，提出需在开发安全管理、安全需求分析设计、安全编码、开源及组件依赖管理、安全测试等方面全面提升开发安全能力，同时，围绕“一个平台、四个方面”开展体系建设，严把产品上线质量关，赋能业务系统内生安全。基于长安汽车在开发安全方面流程未贯通，开发缺乏赋能，安全检测结果差异大、效率低等的现状，默安科技为其提供了一整套研发安全管理平台，能够实现开发安全工具的一体化管理，统一收集与分析安全风险和漏洞数据，并通过严格的流程管控完整的风险缓解过程，确保关键风险闭环，应对项目数量多、安全工具杂、安全数据乱等问题，打造坚实的“研发安全中台”。

本次交流分享会，现场嘉宾从行业政策趋势、企业安全实践、组织体系建设等多个视角对制造企业数字化转型安全建设进行了深度探讨，对数字化转型背景下的软件开发安全体系建设具有很大的参考价值。未来，默安科技将不断探索和创新，加强与智能制造行业的交流与合作，助力当地制造企业提升开发安全治理能力，实现更安全的数字化转型、更高效的业务增长。