日前，2022粵港澳大灣區(qū)(廣州)信息技術(shù)高質(zhì)量發(fā)展與網(wǎng)絡(luò)安全論壇于廣州成功舉辦。會上，工信部電子五所柴思躍博士發(fā)布《信創(chuàng)軟件供應(yīng)鏈白皮書》（征求意見版）[以下簡稱白皮書]，重點梳理專有軟件供應(yīng)鏈定義及內(nèi)涵，介紹軟件供應(yīng)鏈安全門類和現(xiàn)狀。GBASE南大通用作為數(shù)據(jù)庫領(lǐng)先企業(yè)，參與白皮書數(shù)據(jù)庫軟件內(nèi)容編攢。

柴博士強調(diào)，軟件供應(yīng)鏈?zhǔn)菍⒃创a、組件、運行環(huán)境、知識產(chǎn)權(quán)等轉(zhuǎn)化為面向應(yīng)用需求的特定產(chǎn)品或服務(wù)，通過線上或線下軟件交付渠道集合，完成交付并持續(xù)運營的供給活動，并形成了由必要供應(yīng)方、中間人和第三方服務(wù)提供商共同組成的多級網(wǎng)鏈狀供需架構(gòu)。

目前，我國軟件供應(yīng)鏈存在風(fēng)險，目前已收錄軟件質(zhì)量缺陷與安全漏洞超過18萬個，已知漏洞被利用情況超800個，開源軟件供給生態(tài)復(fù)雜，體系化地推進(jìn)產(chǎn)業(yè)級開源治理亟待開展。此外，開源軟件的產(chǎn)權(quán)濫用情況同樣值得關(guān)注。

供應(yīng)鏈管理發(fā)展建議

一是關(guān)注美國對ICT供應(yīng)鏈停服、斷供等政策風(fēng)險，重視評估NIST、ISO等供應(yīng)鏈標(biāo)準(zhǔn)風(fēng)險和國外DevSecOps類軟件數(shù)據(jù)安全風(fēng)險；

二是加快推動我國自主軟件供應(yīng)鏈標(biāo)準(zhǔn)體系研發(fā)進(jìn)程，以應(yīng)用為牽引，優(yōu)化自主軟件供應(yīng)鏈評價指標(biāo)；

三是加快提升產(chǎn)業(yè)級軟件供應(yīng)鏈公共服務(wù)能力。

供需兩側(cè)新期望

信息技術(shù)企業(yè)：

應(yīng)合理使用開源和第三方創(chuàng)新、正確評估和管理軟件供應(yīng)鏈風(fēng)險、比競爭對手更快地發(fā)布更高質(zhì)量代碼；

用戶單位：

建立軟件供應(yīng)鏈風(fēng)險管理制度、評估現(xiàn)有體系下的軟件供應(yīng)鏈風(fēng)險、有效開展內(nèi)部軟件全生命周期管理、實現(xiàn)軟件生命周期信息可追溯、實現(xiàn)風(fēng)險漏洞的快速響應(yīng)可處置。

GBASE南大通用作為先進(jìn)軟件供應(yīng)鏈白皮書參編單位，旗下GBase系列數(shù)據(jù)庫產(chǎn)品核心技術(shù)及底層代碼自主可控，是國內(nèi)少有的專注于數(shù)據(jù)庫產(chǎn)品研發(fā)，并且在金融、電信行業(yè)得到規(guī)模化應(yīng)用的獨立數(shù)據(jù)庫服務(wù)商。GBASE作為軟件供應(yīng)鏈重要一環(huán)，未來將繼續(xù)在供給側(cè)發(fā)力，為我國先進(jìn)軟件供應(yīng)鏈建設(shè)提供安全、穩(wěn)定、卓越的數(shù)據(jù)庫產(chǎn)品和服務(wù)。