12月21日，由中國信息通信研究院（以下簡稱“中國信通院”）主辦的“2024中國信通院ICT深度觀察——開源和軟件供應鏈論壇”在京召開。本屆論壇聚焦開源和軟件供應鏈最新發展趨勢，圍繞開源技術應用能力、軟件供應鏈安全風險等議題開展深入探討，全面展示中國信通院在開源及軟件供應鏈領域的研究、探索與實踐。中國信通院總工程師魏然發表致辭，中國信通院云大所副所長栗蔚等出席會議并進行主題分享。

中國信通院總工程師魏然致辭

魏總表示，開源作為軟件供應鏈的重要組成部分，憑借平等、開放、協作、共享的優秀創作模式，逐漸成為推動數字技術創新、加速傳統行業轉型升級、助力企業降本增效的重要引擎。當前，開源和軟件供應鏈安全發展呈現以下三方面趨勢特點：一是開源軟件項目數量持續增長，開源技術覆蓋領域加速擴張；二是開源安全問題凸顯，威脅軟件產品可用性和安全性；三是以開源為切入點，開展軟件供應鏈安全治理成為業界常態。

近年來，中國信通院通過產業研究、標準評估、咨詢賦能、公共服務四大抓手推動國內開源和軟件供應鏈安全產業發展。產業研究方面，中國信通院連續第六年發布開源生態白皮書，編制軟件供應鏈安全全景洞察、開源合規指南等20余本研究報告；標準評估方面，搭建形成涵蓋國標、行標、團標在內的三十余項開源和軟件供應鏈安全標準體系；咨詢賦能方面，構建覆蓋培訓、診斷、咨詢、訂閱、評估的全生命周期賦能體系，成功落地十余家企業案例；公共服務方面，成立金融、通信、汽車、科技制造等行業開源社區，軟件供應鏈安全實驗室、開源社區共同體、開源合規計劃等生態聯盟，從供給側和應用側雙向推動開源和軟件供應鏈安全生態圈建設。

在開源領域，中國信通院圍繞“安全”、“合規”、“健康”、“可持續”的開源生態發展目標，在業內率先提出“可信開源”理念，目前已形成覆蓋開源全生命周期的標準及評估體系，為推動開源技術的安全合規應用與發展提供重要參考。在安全領域，中國信通院面向安全供應側和用戶側，建立“可信安全”品牌，從軟件供應鏈安全、云安全、零信任、業務風控、安全保險多個領域，建立事前、事中、事后全鏈條安全體系。

作為論壇的核心環節之一，中國信通院在本屆論壇發布最新一批可信開源&可信安全系列評估結果，從開源治理、軟件供應鏈安全、開源供應鏈、開源項目社區、云安全五個維度，建立一系列可信開源&可信安全標準體系，并落地評估測試，幫助企業降低軟件使用風險，推動建立可信開源生態。

中國信通院云大所副所長栗蔚解讀

在“開源安全與軟件供應鏈”專題論壇中，中國信通院云大所副所長栗蔚分享《信息安全技術軟件產品開源代碼安全評價方法》國標編制思路。該標準于2022年11月由中國信通院牽頭立項，旨在給出開源代碼安全評價體系，提高產業開源安全治理能力。標準以可控性、合規性、安全性、穩定性為目標，通過開源代碼來源、開源代碼質量、開源代碼知識產權、開源代碼管理4個維度建立安全評價指標體系，并且針對每條指標項給出詳盡評價方法，提高標準的可操作性。針對如何進一步提升開源安全水平，栗蔚給出了四點建議：一是加強開源安全漏洞管理，及時更新開源代碼版本降低運維成本；二是提升開源許可證合規性，關注開源許可證變化；三是加強開源安全團隊管理，提升開源物料清單透明度；四是完善開源安全工具，實現自動化開源安全治理。

中國信通院云大所副所長栗蔚參加合作儀式

在可信研發運營安全領域，中國信通院圍繞軟件全生命周期，梳理關鍵要素，開展《可信研發運營安全能力成熟度模型》標準制定，并以標準為依托構建測試評估體系，探索產研合作模式。在此背景下，中國信通院云大所與華為技術有限公司基于TSM可信研發運營安全能力成熟度開展深度合作，現已通過試點評估初步建立成熟合作模式，使之成為華為可信供應商的準入門檻之一。

中國信通院云大所副所長栗蔚參加發布儀式

隨著企業數字化轉型進程加速，企業上云用云走深向實，云遠程運維、云遠程交付、云數據同步等云遠程訪問場景的需求增多，作為重要的依托技術，云遠程連接正逐漸成為云遠程訪問的核心。而云遠程連接面臨網絡安全邊界不可控、連接透明度不高等挑戰。在此背景下，華為云計算技術有限公司與中國信通院云大所共同編寫《云遠程連接安全實踐指南》，提出安全遠程連接模型、剖析其安全設計原則和關鍵技術方案，旨在保障云遠程連接過程安全事前可控、事中可視和事后可審，解決云用戶對遠程連接的安全擔憂。

為深入了解國內軟件供應鏈安全和軟件物料清單工作痛點，中國信通院聯合業界頭部企業，開展可信軟件供應鏈安全和軟件物料清單問卷調研工作。論壇期間，中國信通院云大所開源和軟件安全部主任郭雪對《軟件供應鏈安全&軟件物料清單調研問卷》結果進行了全面解讀。郭雪表示軟件供應鏈安全已成為業界關注焦點，軟件物料清單作為軟件供應鏈安全治理重要抓手備受矚目。企業建立以開源軟件、商采軟件為核心的全生命周期軟件供應鏈安全管理體系，明確軟件物料清單數據格式規范，開展軟件供應鏈安全資產管理工作將是下一步工作重點。

本次會議隆重發布了《API治理應用案例匯編（2023）》，共有22個跨越金融、通信、能源、軟件和信息服務等多個行業的優秀案例被收錄其中。該案例集聚焦API治理實踐經驗，從需求分析、API治理具體方案、應用成效等方面出發匯集我國企業目前API治理應用的優秀實踐案例。 中國信通院云大所開源和軟件安全部副主任衛斌對案例集進行解讀。

在“開源生態”專題論壇環節，中國信通院云大所正式啟動《開源之聲》編寫工作，該書是開源從業者智慧和經驗的精華總結，匯集來自不同的研究、工程領域作者所著開源書籍，涉及方向包括開源模式對于軟件工程的促進、所有權制度與國際公約、技術架構與項目共同體、文化的繼承與發揚等各個方面，為開源從業者提供一本兼具理論指導與實踐價值的開源“百科全書”，為行業高質量發展貢獻力量。 

為進一步引導開源大模型產業規范發展，本次會議正式發布《可信開源大模型案例匯編（第一期）》案例，旨在洞察開源人工智能大模型應用場景，梳理開源人工智能大模型的開源成熟度，提升開源人工智能大模型的創新發展。中國信通院云大所開源和軟件安全部高級業務主管張一陽就《可信開源大模型案例匯編（第一期）》進行解讀。通過調研國內開源大模型的技術細節、應用場景、商業模式、應用治理、發展趨勢等，關注開源大模型技術生態及產業鏈上下游，全面展現開源大模型及其工具鏈的發展全貌。此外，通過分析入選本次案例的開源大模型行業實踐，為我國大模型產業發展提供路徑參考。 

2021年10月，中國人民銀行等五部委聯合發布《關于規范金融業開源技術應用與發展的意見》，為金融機構開展開源治理工作指明了方向。為貫徹落實意見要求，中國信通院作為牽頭單位，聯合華泰證券、國泰君安證券、西南證券、易方達基金四家機構，共同承擔證標委標準研究課題《證券期貨業開源技術應用與風險管理指南研究》。經證標委批準，該課題被評為2023年度優秀課題。會上，中國信通院云大所開源和軟件安全部副主任武倩聿對《證券期貨業開源風險管理能力成熟度模型》等課題成果進行解讀，并分享了部分證券機構的開源治理實踐經驗。 

為進一步規范通信行業開源使用，中國通信學會開源技術委員會、中國信通院云計算開源產業聯盟、“科創中國”開源產業科技服務團聯合發布《“源生萬態”——中國通信行業開源創新發展案例集》，案例集共收錄12家企業23個案例。中國信通院云大所開源和軟件安全部主任郭雪和中國通信學會咨詢部副主任張哲為入選案例集企業頒發證書。中國信通院云大所開源和軟件安全部業務主管賈宇塵對《“源生萬態”——中國通信行業開源創新發展案例集》進行解讀，通過梳理通信行業開源技術應用、通信行業對外開源項目和通信行業企業開源治理三部分案例，我們能夠較為全面的了解通信行業在開源領域的前沿動向和豐富實踐經驗。 

此外，中國信通院還邀請了華為采購網絡安全與用戶隱私保護部部長楊明、華為云云安全解決方案產品總監李德剛、智譜AI開源技術布道師張昱軒等企業代表，圍繞開源與軟件供應鏈安全、云遠程連接安全、大模型開源實踐與思考進行主題分享。

數字時代的開源舞臺，中國面孔已經站到聚光燈下。中國軟件從業者、企業和開發者們，用一點一滴的貢獻，刷新著中國開源力量在全球開源生態中的高度。本次論壇通過發布多項開源及軟件供應鏈安全成果，進行深具實踐價值的精彩分享，為開源及軟件供應鏈行業高質量發展帶來更多啟迪和思考。未來，中國信通院將繼續與產業各方開展更加緊密的合作，通過制定相關標準、舉辦行業論壇等，推動開源及軟件供應鏈安全、有序、健康發展，推進千行百業數字化轉型，助力數字中國建設。（張九陽）