护航企业数字化转型，这家川企团队参与了多项国家与行业标准建设

“真是睡前下单，醒来收货。”11月11日一早，成都青羊区的王女士就收到了取件信息，她昨晚在网上下单的面膜已经到了快递站。

“双十一”快递提速，得益于物流行业的数字化转型。当前，数字技术已经全面渗透到供应链管理、仓库发货、快递中转、末端配送等各个环节。而软件安全，则是企业数字化转型的基石，是国家数字经济安全保障的底板。

“双十一”前夕，开源网安（成都）科技有限公司的负责人王颉带领团队与国内某知名物流公司建立合作，为物流公司开发的物流管控平台提供软件开发安全技术支撑，确保物流管控平台的安全质量，为后续的网络安全保障工作奠定重要基础。

在王颉看来，软件开发安全的目的是在软件开发过程中保障软件自身的安全质量，将风险防患于未然，“过去几年，大多数企业在软件开发过程中更多关注功能和性能，而忽视了软件自身的安全质量问题。”

工信部2021年印发的《“十四五”软件和信息技术服务业发展规划》中明确指出，软件是新一代信息技术的灵魂，是数字经济发展的基础，是制造强国、网络强国、数字中国建设的关键支撑。但是随着现代软件开发技术的不断演进，以及新技术平台的出现，特别是使用开源组件的开发方式的出现，使得软件供应链变得越来越复杂，从而对政企、个人用户的网络、数据、财产乃至国家安全造成重大威胁。

比较典型的事件是，2021年年底，在全球范围被广泛应用的开源日志组件Apache Log4j2，被曝存在一个“核弹级”的安全漏洞。此次漏洞危险波及范围极广，覆盖了全球IT通信（互联网）、工业制造、金融、政府、医疗卫生、运营商、高校等几乎所有的行业和领域。攻击者可以通过漏洞触发远程木马执行，进而控制受害者设备来进行窃取数据、投递勒索病毒、挖矿木马等操作，对用户的网络和财产安全造成严重威胁。

如何才能在发展数字经济的同时保障软件供应链安全呢？王颉认为，软件供应链安全需要在政策与标准体系的引导下，软件开发商、软件使用单位、第三方测评机构与监管机构共同发力，在软件的开发、交付和使用三个环节中采用不同的安全策略，建立全面、健全的软件供应链安全保障体系。

这也意味着，软件供应链安全的标准体系建设十分关键。为了保障软件开发安全、供应链安全，我国陆续出台了诸多政策、标准，来规范和引导落地相关要求。专注软件开发安全技术领域十余年的开源网安，也参与了数十项国家与行业相关标准建设，其中王颉带领的成都团队代表开源网安参与了大部分标准的建设，推动了国内相关技术与理念的发展。

软件开发行业重功能轻安全的现状也在得到改善。据王颉观察，过去5年，特别是2021年爆发Apache Log4j2事件后，关键信息基础设施行业单位与信息技术产品研发企业对软件开发安全愈加重视，此前略显“小众”的软件开发安全技术领域，也受到更多关注。早在2021年，开源网安就已经获得亿元级别B轮融资，并陆续为四川的金融、能源、政府监管、教育等行业提供软件开发过程中端到端安全解决方案，助力相关单位的网络安全保障。

来源：川观新闻

往期推荐