近年来
，供给链攻击日益疯狂
，很多沉大的数据泄露、勒索软件事务都与供给链攻击有关。在这个布景下
，若何保障信创软件供给链的安全性
，成为了企业不得不面对的难题。为响应国度号召
，索求和构建网络安全信创新生代
，2023西湖论剑·数字安全大会设立了信创软件供给链安全论坛
，旨在以安全护航信创供给链
，推动信创产业的发展。

浙江省经济和信息化厅软件与集成电路产业处有关辅导颁发致辞

浙江省经济和信息化厅软件与集成电路产业处有关辅导在致辞中指出
，我们在关注集成电路蹬撞件供给链安全的同时
，也必要看到软件产品供给链的沉要性
，通过这次论坛
，我们将共同探求若何加强软件供给链的治理和尺度规范
，强化软件产品的安全性、靠得住性和可持续性
，满足分歧用户的需要和进展
，推动信创产业进一步地做深、做实。

中国信息通讯钻研院安全钻研所测评中心主任赵相楠作主题演讲

赵相楠介绍了攻防视角下的软件供给链安全挑战和治理索求。他建议首先发展软件供给链安全顶层设计
，推动治理模式由自治或半自治向共治进行转变
，构建起软件供给链的安全尺度系统、评价系统、能力系统
，追求发展与安全的平衡点
，并充分利用新的技术解决面对的新挑战
，防备化解软件供给链安全风险。

预防软件供给链风险必要营造安全可信的网络空间生态环境。同时
，行业用户也必要提升自身软件供给链安全治理能力
，发展供给链安全治理。针对这一问题
，来自分歧业业的嘉宾分享了有关实际。

浙江省网络空间安全协会软件供给链安全专家委员会浙商银行安全钻研专家孙钢颁发主题演讲

孙钢以为
，金融业开源软件安全管控框架能够分成治理、技术、运营三大部门：治理是指要明确组织造度、流程
，用于规范运营跟技术支持系统；技术支持是指挥用各类安全产品
，引入SCI、IAST、RASP、容器安全、BAS、主机安全等技术
，为后面的安全运营提供支持；安全运营是在治理系统的领导下
，使用各类安全技术
，去发展一些风险治理
，最终服务于企业全性命周期安全防护系统。

财通证券股份有限公司金融科技研发部副总经理温智超颁发主题演讲

温智超介绍称
，金融系统的IT环境极度复杂。为了；と砑供给链的安全
，财通证券组建了软件安全治理委员会
，成立了开源软件和三方厂商的是非名单的造度
，通过在开发环境、测试环境、出产环境进行代码查抄和扫描
，来确保有关的组件不在黑名单领域之内。安全治理委员会还牵头成立一套组织、造度和流程
，从测试、编码、设计、部署、上线
，以及后期运维的各个阶段都进行自动化的安全治理。同时
，安全治理委员会还会牵头成立一套有关的造度和流程。公司还打造了配套的DevSecOps系统
，从工具层面确保从设计、研发、测试、上线、运维的各个环节都能自动化地进行安全治理。

中科曙光云推算产品事业部副总经理宋国欢颁发主题演讲

中科曙光宋国欢暗示
，曙光云经过15年的技术沉淀
，以主题自延注开源加强以及合作技术构建了面向数字化转型的国产全栈云底座。作为中科曙光算力的沉要输出方式之一
，中科曙光一向致力于在多种技术融合的布景下构建安全的软件供给链系统和自主创新的技术
，保险云底座和云服务的安全。

Open欧拉社区委员会委员、盛开原子开源基金会TOC副主席熊伟颁发主题演讲

熊伟则分享了openEuler社区在安全技术方面的索求。他指出
，openEuler社区已经成立了一套极度齐全、严谨的安全缝隙治理机造
，为openEuler的可持续性发展打下了坚实的基础。同时
，openEuler在供给链方面初步成立起来SBOM机造
，并且和安全缝隙信息进行了交联
，美满了安全分析流程。在安全技术方面
，openEuler社区已经全栈支持了国密尺度
，同时开发了secGear机密推算平台等安全创新项目。所有这些都将助力用户基于平台简化安全保险工作。

信阳赛迪公司陈昊与js1996官网信息刘志乐共同颁布了「信阳赛迪&js1996官网信息信创结合服务基地」

在本次论坛上
，信阳赛迪公司陈昊与js1996官网信息刘志乐共同颁布了“信阳赛迪&js1996官网信息信创结合服务基地”。该基地旨在面向区域信创用户侧及供给侧提供全方位的信创保险支持服务
，为推动区域信创产业的健全发展、推进信息技术提升阐扬沉要价值。

中国软件测评中心（赛迪）信创中心软件供给链技术专家袁薇颁发主题演讲

袁薇分享了软件供给链安全保险与评估汇报。她指出
，保险软件供给链安全应对峙尺度牵引
，急剧推动软件供给链安全尺度建设
，凭据尺度发展软件供给链风险评估
，在确保软件代码安全的基础上
，通过保险软件供给链的安全
，使用户可能安全、持续、不变的使用软件产品以及相应的支持性服务。

北京乐研科技股份有限公司产品事业部副总经理张帅颁发主题演讲

张帅分享了乐研在网络安全行业的信创实际。他指出
，经过这十几年的磨砺
，信创产业进入了一个大规模的推广阶段
，已经初步具备规范化的能力。乐研已经陆续推出了高涨、兆芯、海光等国产化网络安全硬件平台
，并起头布局面向工业安全的硬件平台。

荆门js1996官网车联网安全技术有限公司副总经理杨廷锋颁发主题演讲

杨廷锋探求了信创软件安全治理。他指出
，软件的安全质量治理是一个极度沉要的话题
，其中最关键的是实现质量的持续改进。这涉及到两套理论
，一套理论就是我们常说的PDCA
，即从质量的循环的角度去构建全面质量治理机造；第二套是零缺点治理理论
，即强调预防系统节造和过程节造
，不仅仅预防质量问题
，更多的是指前瞻性地防备质量问题的出现。

荆门孝路科技有限公司结合首创人兼CTO高级工程师徐锋颁发主题演讲

徐锋指出
，开源软件作为一种被宽泛使用的软件局势
，在软件行业有着极为沉要的职位。近3年来
，基于开源软件的供给链攻击的事务增长了700%
，要推进开源软件生态的健全发展
，我们必要构建开源软件全性命周期治理系统
，基于SBOM进行安全治理
，并成立相应的威胁谍报库
，从数据的网络、整顿、洗濯、成立谍报、持续跟踪等方面进行丰硕。