2023年12月15日,由中国信通院主办的“2023GOLF+IT新治理领导力论坛”在北京正式召开,论坛上正式启动IT新治理智能审计工具能力验证和行业共享计划,中国移动智慧家庭运营中心(简称“智家中心”)联合中国移动集团内审部、信安中心推动“守望者·清源平台”加入行业共享计划暨首批高质量智能审计工具。
同时,“守望者·清源平台”凭借优秀的软件供应链安全保障及智能审计治理能力,在一众产品中脱颖而出,成功通过IT新治理领域审计工具评估,软件供应链安全保障及智能审计治理能力获权威认可。
随着新一轮科技革命和产业变革深入发展,企业IT治理边界不断扩大,为应对数字时代企业面临的不确定性,提升风险治理水平,构建现代化的IT数字化审计及治理工具已成为企业在数字经济行稳致远的重要抓手。
在此数字化、信息化、智能化为特征的科技变革浪潮中,智家中心依托中国移动集团内审部战略思想指导,联合信安中心,研发打造“守望者·清源平台”,提供软件物料清单(SBOM)分析、安全漏洞和开源许可等检测功能,有效的解决了软件供应链上下游信任问题,实现了漏洞等安全问题的快速定位,以“短平快”方式有效解决软件供应链安全监测防御场景问题,解放人员生产力,并坚持以业务发展为主线,审计与治理两轮驱动,“以审促改”确保软件安全审计治理体系在合规、风险可控的基础上有效支撑业务战略发展,驱动业务价值提升。
多方协同,打造业审融合体系,筑牢审计治理根基
紧跟行业发展步伐,为加快从传统的安全基础支撑向赋能IT数智化审计治理转型、向高质量发展、高安全软件供应保障转变,中国移动加强多方协同,以中国移动集团内审部审计战略规划为指导,依托智家中心和信安中心研发优势,打造“守望者·清源平台”平台,提出以“管”、“审”、“治”结合策略,构建起多方协同业审融合软件供应链审计合规安全治理体系,在研发全流程审计合规与安全治理紧密协同方面发力。
一方面,组织自顶向下,坚持多方协同,拉通企业内部跨单位、跨部门协同,从集团至公司,围绕以审促治这一核心合力对软件供应链进行全生命周期的安全管理,实现软件供应链审计合规安全治理体系有效落地,确保企业软件质量和安全性合规发展;另一方面,组织自底向上,针对各业务场景敏捷落地相关安全能力点,通过明晰供应流程,聚焦供应流程风险审计点,清晰设置各项安全保障质量门卡点,以快速满足业务场景的安全需求,降低软件供应过程对业务的安全威胁,有效避免管理和技术的“两张皮”问题,求解“软件供应链全链路安全审计”+“业务融合发展”的创新体系,夯实企业安全合规审计治理基石。
多项创新,夯实安全防控能力,激活审计治理效能
软件供应链安全攻击遍布行业生产的各个环节:采购引入、外包后门、开发工具污染、自主开发引入、升级更新劫持等,让人防不胜防。为促进业务发展符合安全防御审计的需求,“守望者·清源平台”秉承数字技术赋能理念,将软件供应链安全治理能力融入到安全研发过程,在软件采购、需求设计、开发、测试、运维等阶段,建立全生命周期看护能力,将安全风险“左移”的同时形成动态监测的长效机制。经与安全研发流程(DevSecOps/SDLC等)无缝融合,实现软件供应链治理流程化,辅助各监管节点的实际落地及有效执行。同时,平台以软件物料清单为基础深化技术创新,创新软件成分动态化监测实践、创新软件成分识别与安全检测分离技术,在打通软件物料清单上下游完整性验证的同时,实现对软件成分漏洞、软件许可动态化监测和安全漏洞“一键式”排查能力,做到真正意义上的软件台账清晰、排查高效和精准,构建起端到端的供应链软件治理体系,实现产品供应链软件动态安全监测,全面激活软件供应链安全场景审计治理效能,为企业安全持续合规“高速护航”。
“守望者·清源平台”作为中国移动开展2023年软件供应链安全内部审计的专用检测工具,已对中国移动集团55家单位开展软件供应链安全审计,截至当前已完成1004个产品140万个组件的合规检测,累计审计及发现风险问题数量明显增多,效果显著。
未来,智家中心将坚持创新引领、科技驱动,进一步深耕软件供应链安全防御治理能力,以技术创新与管理创新双提升完善自身能力,不断提升网络安全产品和服务高质量供给,推进软件供应链上下游共建协同体系,助力网络安全产业高质量发展!