2023年9月19日，《软件供应链安全能力中心建设指南》（下称“指南”）在2023软件供应链安全创新发展论坛上重磅发布。《指南》由中国信通院联合中国电信、中国移动、中国联通、中国铁塔、奇安信等相关安全企业等共同编制。在论坛成果发布环节，中国信通院安全研究所所长、社区秘书长谢玮对《指南》进行深度解读。

【谢所讲解图】

首先，《指南》指出了软件产品、服务供应链面临的困难和挑战，指出应针对软件产品和服务、软件生产方和使用方、软件供应链安全生态三个层面的安全需求，结合业界已有的最佳实践经验，通过优选和编排相应的安全工具和知识库能力，提供切实有效的软件全生命周期安全风险管控保障。

其次，在能力中心的建设模式方面，根据对社区成员单位的大量调研中大家反馈的共性需求痛点，《指南》提出了能力中心建设的三种模式。一是面向软件成品的独立检验需求的安全能力中心（类似实验室）。依据标准规范，部署代码分析、成分分析、敏感信息检测、开源组件风险评估等各种技术工具，在商用软件或开源组件选型时提供产品安全检验测试。二是面向软件产品生命周期各阶段风险管控需求的、赋能模式的安全能力中心。这种模式将安全能力与业务生产环境深度融合，把各种不同类型、不同用途的安全工具与软件的开发、部署、运维等全过程编排在一起，真正实现风险防范能力的“安全左移”。三是共享服务型的能力中心。类似建设一个公共服务平台，通过云化部署相应的供应链安全检测工具和配套知识库能力，以接口调用方式面向社会提供的安全能力输出，为更广泛的企业和个人提供灵活、便捷、高水平的软件供应链安全能力的服务支持。

在后续的试点中，参与单位根据自身的需求和业务场景确定能力中心具体建设模式。建成后的能力中心将以软件产品安全保障为核心，依据行业标准和能力中心运营规范要求，为内部软件供应链安全治理、外部安全服务需求提供能力支撑。能力中心规划和建设应遵循五个原则。一是一体化，供应链的网链和节点安全的一体化考虑；二是实战化，要真正能服务于企业的现网攻防实战；三是可视化，要聚焦于更好的厘清企业的软件资产成分和相应风险；四是原子化，中心的安全能力应该能够以原子化形式支持面向不同场景要求的、灵活编排部署；五是体系化，使得我们企业具有对软件全生命周期的体系化治理能力。

最后，《指南》从能力中心建设应具备的具体技术能力、赋能模式下的细分场景、关键技术工具分析三个层面回答了“能力中心该如何建设”的问题。首先，《指南》从内外两个视角给出了保障能力总图，内层链条对软件在生产、交付、运营使用过程中的主要环节和各个环节的基础共性安全需求的技术工具集；外层圆环主要描述安全能力的协同机制，通过共享知识库、能力调用接口等方式，实现协同应急溯源响应。其次，安全赋能模式下，由于不同的企业关注点不同，需要根据场景一事一议。在《指南》中选取了有代表性的场景、参考会员单位的最佳实践，分别给出了初步的建设方案设计以供借鉴参考。最后，《指南》给出了10种最常用、最有效的基础安全工具，包括9种具有特定功能的安全工具，1个将这些安全工具进行编排关联的统一管理平台。目前，安全能力优选和编排工作正在通过社区成熟度评估专项稳步推进。

后续，作为治理体系中“安全能力打造”的重要一环，社区将依照试点征集、实体建设、常态运营、体系完善几个角度推进相关工作，并就行业共识推进标准的编写工作。当前，已有部分成员单位提出了建设能力中心试点的意愿，社区会于9-10月持续征集试点意向，以期于今年完成三种模式的能力中心试点建设，于2024年初步实现试点运营和能力输出，力争在2025年形成体系化、定制化能力中心供给。