随着

一、        大会背景

数字化进程的加快，软件已经成为国家关键信息基础设施建设和整个国民经济信息化发展的战略支点，软件安全的重要程度已经日益凸显，软件安全事关国家信息安全战略!

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

2020年2月，Apache Tomcat存在文件包含漏洞，该漏洞可以造成Tomcat上所有重要配置文件或源代码等敏感信息泄露。2021年4月，软件测试工具codecov被植入恶意代码，影响全球2.9万名客户，包括谷歌、IBM、宝洁等多家知名企业。2021年11月，攻击者利用 SonarQube 漏洞盗取国内多个机构的大量源码，涉及我国数十家重要企业单位的应用代码。

为保障我国网络安全和软件供应链安全，国家相继出台了《网络安全审查办法》《关于规范金融业开源技术应用与发展的意见》《网络产品安全漏洞管理规定》等一系列法律法规，保障软件供应链安全健康、持久的发展。面对新的政策要求和行业态势，如何防范软件供应链风险，打造安全、健康的软件供应链生态，是我们每个行业从业者需要考虑的问题。

2021岁末之际，在深圳市网络与信息安全行业协会（拟邀请）指导下，由OWASP中国主办的“2021软件开发与供应链安全技术论坛”将于2021年12月18日在深圳市星河艺术中心举办。

二、        论坛介绍

1.            名称：2021软件开发与供应链安全技术论坛

2.            论坛主题：外防内治，贯穿始终

3.            时间：2021年12月18日（周六）14:00-18:00

4.            地点：星河艺术中心

5.            规模：100人

三、        组织机构

1.     指导单位：深圳市网络与信息安全行业协会

2.     主办单位：OWASP中国

3.     协办单位：OWASP中国广东分会、网安加学院

4.     赞助单位：开源网安

四、        专题介绍

专题·供应链安全 | 软件供应链安全及防护工具研究

吴江伟

中国信息通信研究院云计算与大数据研究所云计算部工程师

软件供应链安全指软件供应链上软件设计与开发的各个阶段中来自本身的编码过程、工具、设备或供应链上游的代码、模块和服务的安全，以及软件交付渠道安全的总和。相比传统针对软件自身安全漏洞的攻击，针对软件供应链，受攻击面由软件自身扩展为了软件自身内部的所有代码、模块和服务及与这些模块、服务相关的供应链上游供应商的编码过程、开发工具、设备，显著降低了攻击者的攻击难度。

本次议题从软件供应链安全挑战、软件供应链安全防护工具、软件供应链安全研究建议等多个维度阐述软件供应链安全。