8月28日,2024中国国际大数据产业博览会领先科技成果发布会在贵阳国际生态会议中心举行,发布十大领先科技成果。中国电信研究院申报的“基于SBOM的软件供应链安全核心技术突破与规模化应用创新实践”项目经过邬贺铨院士和众多专家严谨的评审,从275个申报项目中脱颖而出,荣获2024中国国际大数据产业博览会 “十大领先科技成果”。贵州省人民政府副省长董家禄、国家数据局副局长沈竹林为获奖单位授牌颁奖。
“基于SBOM的软件供应链安全核心技术突破与规模化应用创新实践”项目在行业内首创构建软件供应链安全全生命周期管理体系,以标准规范为引领,以关键技术突破为核心,以管理平台为抓手。基于国家法律法规政策及标准要求,项目组制定了软件安全入网标准、SBOM安全管理等规范;突破多形态软件包高效成分提取、多源漏洞情报归并、大规模组件漏洞匹配、漏洞利用路径精准分析、超大规模代码多层级高速基因比对等关键技术,构建了集资产管理、代码安全、组件安全、制品安全、风险修复、漏洞预警等关键能力的软件供应链安全管理平台,以技术手段促进了管理规范的实施落地,实现了软件资产安全管理的智能化、自动化、可视化,保障了软件全生命周期安全。
该项目在中国电信内部已全网落地,覆盖40余个省专公司,纳管了约2100个重要软件资产,资产管理与漏洞整改效率提升了68%,漏洞整改率提升了18%,软件达标率提升了32%,有效消减了中国电信软件供应链安全风险。目前,软件供应链安全管理平台已入选集团成果清单,并纳入了公安三所供应链安全能力中心工具推荐清单。同时,研究院作为信通院软件供应链安全社区检验中心,实现对外赋能。项目向行业输出了10余项ITU-T、IEEE、CCSA等国际标准和行业标准。
软件安全是数智时代的基石,中国电信研究院将不断深入软件供应链安全核心技术研发,增强软件供应链安全平台能力,持续优化软件供应链安全标准体系,更好地保障关键基础设施安全;同时,加强行业生态合作,进一步为行业、企业赋能,为打造安全型企业贡献力量。
本文来源:中国电信研究院
