人民政協網北京3月8日電(記者 胡京春)“數字化轉型升級對軟件的依賴度提升,軟件安全變得十分重要,一旦受到影響,就會嚴重損害人民生產生活、社會經濟活動甚至國家安全,必須盡快采取措施保障軟件安全,從而保障數字化轉型進程。”全國政協委員、哈爾濱安天科技股份有限公司董事長肖新光在提交的《關于加速推進軟件安全工程相關工作的提案》中指出。
針對存在的問題,肖新光建議主管部門牽頭,建立對重點行業領域推動軟件供應鏈透明化機制,同時將對應的檢測與驗證能力作為關鍵軟件、設備和系統的強制要求。針對相關服務提供商制定安全監管要求和標準,確保軟件產品(工件、制品)所用開源代碼、第三方庫等成分透明化,對這些源碼進行安全性和合規性的評估,確保在發現開源代碼、第三方庫等安全漏洞時,能夠對其影響范圍進行追蹤和排查;對應用軟件發布版本增加強制性簽名要求,將內置惡意代碼防護以及對威脅可溯源性的支撐要求變成強制要求。
建議工業和信息化部在加快軟件業開源生態構建的同時,推動軟件安全工程配套的開源軟件生態的全面境內鏡像化專項工程(可用性保障),并建立對應安全監測機制。利用國家算力樞紐,由國家出資或補助,各級企業技術中心和工程技術研究中心參與,建設并主動管理源代碼庫,實現開源代碼/功能模塊持續可用保障,對關鍵項目進行持續代碼審計與安全檢測,全面評估其質量和安全性,建立配套的自動化、持續的風險監控機制。
同時建議工業和信息化部成立專門責任機構,通過資源配置引導、標準指南制定等措施,推動安全保障優先的安全軟件工程SecDevOps 方法成為軟件開發的通用實踐,將共性安全設計、通用安全模塊和配套檢驗方法的工程實踐標準化。
