人民政協(xié)網(wǎng)北京3月8日電(記者 胡京春)“數(shù)字化轉型升級對軟件的依賴度提升,軟件安全變得十分重要,一旦受到影響,就會嚴重損害人民生產(chǎn)生活、社會經(jīng)濟活動甚至國家安全,必須盡快采取措施保障軟件安全,從而保障數(shù)字化轉型進程。”全國政協(xié)委員、哈爾濱安天科技股份有限公司董事長肖新光在提交的《關于加速推進軟件安全工程相關工作的提案》中指出。
針對存在的問題,肖新光建議主管部門牽頭,建立對重點行業(yè)領域推動軟件供應鏈透明化機制,同時將對應的檢測與驗證能力作為關鍵軟件、設備和系統(tǒng)的強制要求。針對相關服務提供商制定安全監(jiān)管要求和標準,確保軟件產(chǎn)品(工件、制品)所用開源代碼、第三方庫等成分透明化,對這些源碼進行安全性和合規(guī)性的評估,確保在發(fā)現(xiàn)開源代碼、第三方庫等安全漏洞時,能夠對其影響范圍進行追蹤和排查;對應用軟件發(fā)布版本增加強制性簽名要求,將內(nèi)置惡意代碼防護以及對威脅可溯源性的支撐要求變成強制要求。
建議工業(yè)和信息化部在加快軟件業(yè)開源生態(tài)構建的同時,推動軟件安全工程配套的開源軟件生態(tài)的全面境內(nèi)鏡像化專項工程(可用性保障),并建立對應安全監(jiān)測機制。利用國家算力樞紐,由國家出資或補助,各級企業(yè)技術中心和工程技術研究中心參與,建設并主動管理源代碼庫,實現(xiàn)開源代碼/功能模塊持續(xù)可用保障,對關鍵項目進行持續(xù)代碼審計與安全檢測,全面評估其質量和安全性,建立配套的自動化、持續(xù)的風險監(jiān)控機制。
同時建議工業(yè)和信息化部成立專門責任機構,通過資源配置引導、標準指南制定等措施,推動安全保障優(yōu)先的安全軟件工程SecDevOps 方法成為軟件開發(fā)的通用實踐,將共性安全設計、通用安全模塊和配套檢驗方法的工程實踐標準化。