图灵汇官网

数字经济与软件安全：探索中国与全球趋势

在全球经济版图中，数字经济正扮演着日益关键的角色，成为驱动经济增长的新引擎。根据中国信息通信研究院的《中国数字经济发展白皮书（2021）》，2020年，中国的数字经济规模达到了39.2万亿元，增长迅猛，占GDP比重高达38.6%，较前一年增长了2.4个百分点。这一显著提升不仅反映了数字经济的强大动能，也为疫情下的经济稳定和复苏提供了有力支撑。预计到2022年，数字经济的增加值规模有望进一步攀升至48.9万亿元。

软件作为制造强国、网络强国、数字中国建设的核心支柱，其安全性不容忽视。开源组件在软件供应链中占据重要地位，广泛应用于各类软件应用的开发中。然而，开源软件的复杂依赖关系亦带来了一系列安全挑战，包括安全漏洞、过期组件、许可证合规性问题等。新思科技发布的《2022年开源安全和风险分析》报告对此进行了深入剖析，强调了在商业和专有应用中采用开源的趋势，并提供了针对性的见解，旨在帮助开发者更好地理解并管理互联软件生态系统的安全风险。

开源安全与风险管理：中国视角

在中国，开源软件的价值得到了广泛认可，尤其体现在“十四五”规划中对其明确的重视。随着开源软件的普及，企业面临的安全风险、知识产权风险、供应链安全风险等挑战也随之增多。为了应对这些挑战，企业需制定明确的开源策略，并在内部及供应链层面实施，同时借助可靠的测试工具，以高效、快速地开发可信软件产品。新思科技中国区软件应用安全业务总监杨国梁指出，企业应将开源策略纳入战略计划，确保软件包满足企业的质量标准，同时建立审计流程，全面监控开源软件的使用情况，这对于维护合规性至关重要。

软件安全成熟度模型：BSIMM13概览

新思科技自2008年起发布的软件安全构建成熟度模型BSIMM（Building Security In Maturity Model）报告，基于与国际领先软件企业的访谈，揭示了软件安全领域的四大关键趋势：

1. 无处不在的安全：强调安全问题贯穿于软件开发、部署、应用的全过程，需要在不同阶段进行针对性的测试。
2. 集成安全到工具链：安全活动已不再局限于安全部门，而是融入开发流程，嵌入开发工具链中进行上下文检查。
3. 供应链风险管理的兴起：软件供应链安全问题不仅关注开源治理，还需全面考虑供应链中各类关系，形成统一的软件物料清单（SBOM）。
4. 跨领域协同的软件安全：在数字化转型背景下，软件安全需整合合规、开发、测试等多个部门的利益相关者，建立协作机制。

实施BSIMM以强化软件安全

为了利用BSIMM模型优化软件安全计划，企业应采取以下策略：

• 战略规划与开源策略：明确开源策略，降低法律、技术和业务风险，考虑设立专门的开源项目办公室。
• 审批流程：建立严格的软件包审批流程，确保其符合企业需求和质量标准，评估代码质量、支持级别、项目成熟度等。
• 审计流程：执行全面的审计，检测开源软件使用情况，确保合规性，及时响应漏洞披露事件。

云端安全与云原生趋势

在数字经济时代，云服务已成为推动数字化转型的重要力量。云端应用与软件安全紧密相连，两者均被视为软件安全的范畴，云原生技术的普及标志着不可逆转的趋势。新思科技提供的云原生服务旨在为客户提供全面的安全解决方案，既作为安全工具的供应商，也通过赋能客户提升其安全能力。

综上所述，面对数字经济与软件安全的双重挑战，企业需制定综合策略，充分利用开源资源的同时，加强供应链管理，确保软件产品的质量和安全性，以适应不断变化的技术环境和市场需求。