由中国信息通信研究院(以下简称“中国信通院”)主办的“2024中国信通院ICT深度观察——开源和软件供应链论坛”近日在京召开。与会人士聚焦开源和软件供应链最新发展趋势，围绕开源技术应用能力、软件供应链安全等议题开展深入探讨。

中国信通院总工程师魏然表示，开源作为软件供应链的重要组成部分，凭借平等、开放、协作、共享的优秀创作模式，逐渐成为推动数字技术创新、加速传统行业转型升级、助力企业降本增效的重要引擎。当前，开源和软件供应链安全发展呈现以下三方面趋势特点：一是开源软件项目数量持续增长，开源技术覆盖领域加速扩张;二是开源安全问题凸显;三是以开源为切入点，开展软件供应链安全治理成为业界常态。

中国信通院云大所副所长栗蔚分享了《信息安全技术 软件产品开源代码安全评价方法》国标编制思路。据介绍，标准于2022年11月由中国信通院牵头立项，旨在给出开源代码安全评价体系，提高产业开源安全治理能力。

针对如何进一步提升开源安全水平，栗蔚建议：一是加强开源安全漏洞管理，及时更新开源代码版本降低运维成本;二是提升开源许可证合规性，关注开源许可证变化;三是加强开源安全团队管理，提升开源物料清单透明度;四是完善开源安全工具，实现自动化开源安全治理。

据介绍，在开源领域，中国信通院围绕“安全”“合规”“健康”“可持续”的开源生态发展目标，在业内率先提出“可信开源”理念，目前已形成覆盖开源全生命周期的标准及评估体系，为推动开源技术的安全合规应用与发展提供重要参考。在安全领域，中国信通院面向安全供应侧和用户侧，建立“可信安全”品牌，从软件供应链安全、云安全、零信任、业务风控、安全保险多个领域，建立事前、事中、事后全链条安全体系。

作为论坛的核心环节之一，中国信通院在本届论坛发布最新一批可信开源&可信安全系列评估结果，从开源治理、软件供应链安全、开源供应链、开源项目社区、云安全五个维度，建立一系列可信开源&可信安全标准体系，并落地评估测试，帮助企业降低软件使用风险，推动建立可信开源生态。