9月19日，以“科技创新、驱动发展”为主题的2023软件供应链安全创新发展论坛在北京顺利召开。工业和信息化部网络安全管理局相关领导、中国信息通信研究院副院长魏亮，中国电信集团网络和信息安全管理部副总经理张侃，中国联通集团网络与信息安全部副总经理谢攀，信息通信软件供应链安全社区秘书长、中国信息通信研究院安全研究所所长谢玮，中国工程院院士、中央网信办专家咨询委员会顾问沈昌祥等多位领导专家出席会议。绿盟科技集团首席技术官叶晓虎博士、运营商事业部总经理汤旭受邀出席主论坛，叶晓虎博士发表《安全知识图谱赋能软件供应链风险管理实践》主题演讲。

本次大会由中国信息通信研究院、中国电信集团有限公司、中国移动通信集团有限公司、中国联合通信集团有限公司、中国铁塔股份有限公司主办，信息通信软件供应链安全社区（以下简称“社区”）承办，绿盟科技集团作为会议协办单位深度参与。

主题演讲

叶晓虎博士在主题演讲中表示，当前软件供应链安全基本处于混源开发的状况，据可靠数据统计，开源软件在整个项目代码中的占比达90%左右，软件供应链安全还停留在代码审计、漏洞扫描等碎片式安全阶段；与此同时，还面临着管理工作难度大、软件开发生命周期安全管控薄弱以及开源组件漏洞关联及依赖关系复杂等痛点。

绿盟科技集团首席技术官叶晓虎博士

围绕“实现安全评估自动化，软件供应链管理体系化”的软件供应链风险管理实践目标，绿盟科技开展基于软件物料清单（SBOM）的软件供应链风险管理体系建设试点。方案结合客户内部供应链管理现状，依托建设基于软件物料清单（SBOM）的软件安全管理平台，引入安全知识图谱，实现软件安全评估自动化、结果可视化、管理合规化；结合供应链安全管理体系建设、供应商的安全评估及检查制度建设、安全事件应急能力建设，从管理与技术双层面形成软件供应链风险管理体系，推出基于SBOM方法的软件供应链安全解决方案。

作为软件供应链风险管理实践的核心技术，绿盟科技安全知识图谱平台（NSFOCUS Cybersecurity Knowledge Graph，简称“NCKG”）是绿盟科技自研的网络安全领域专用知识图谱，其作为一种实体和概念等安全知识的高效组织形式，能够发挥其知识整合的优势，将零散的多源异构情报数据组织起来，为网络安全空间的威胁建模、风险分析、攻击推理等提供数据分析和知识推理等方面的支持，加速安全进入认知智能阶段，并可应用于开源组件漏洞关联及依赖性分析、开源组件基于图的健康评分等方面，赋能软件供应链风险管理实践。

同时，面向开源软件安全管理，绿盟科技已具备专业化工具，其中包括代码审计类产品，应用安全测试与交互式安全测试工具，保证用户开源软件及APP的安全；在开源软件治理方案层面，绿盟科技也推出了针对开源安全管控的治理方案，其中包括安全工具与安全服务，为客户提供开源安全防护建设方案。

荣耀时刻

颁奖环节，中国电信甘肃公司智能云网调度运营中心网络和信息安全运营中心牵头申报，绿盟科技联合申报的试点项目成功入选SBOM试点建设优秀案例。在该项目中，绿盟科技协助甘肃电信进一步优化供应链安全治理和管理体系。在充分整合甘肃电信已有供应链安全建设成果的基础上，打造甘肃电信软件供应链安全治理平台，重点强化供应链安全风险与漏洞预警处置、精细化代码分析、开源软件资产管理等核心能力。同时，积极推进安全技术、工具、管理与软件研发体系的有效整合，让安全属性嵌入到软件供应链全生命周期之中，全面提升甘肃电信软件供应链全生命周期安全。

在2023年软件供应链安全技能竞赛颁奖仪式中，绿盟科技M01N战队秉承“研战一体，以攻促防”的技术理念和丰富的攻防对抗领域经验，在比赛中披荆斩棘，脱颖而出，荣获团队二等奖。本次大赛由中国信息通信研究院、中国移动通信集团有限公司、中国电信集团有限公司、中国联合通信集团有限公司、中国铁塔股份有限公司联合主办，信息通信软件供应链安全社区承办，主要通过线上解题赛的形式，结合日常实际软件供应链安全典型安全事件对供应链安全主题相关的开发安全、运维安全、代码安全、开源软件安全等方面进行了综合考察。

绿盟科技天元实验室李文瑾领取大赛团队二等奖

绿盟科技运营商事业部总经理汤旭受邀为大赛团队优秀奖颁奖

精湛技术

大会展区展示了绿盟科技供应链安全解决方案，该方案聚焦软件供应链生产周期的过程管控，通过推进软件生命周期全流程安全管控的落地实践，实现从软件生命周期的源头保障供应链安全；通过供应链安全治理平台与企业安全运营平台的联动，避免和消除软件开发过程中的安全缺陷，为保证软件供应链安全奠定重要基础。

作为网络安全行业的老兵，绿盟科技始终肩负着自己的使命，23年来持续深耕网安行业。作为软件供应链中的安全厂商，绿盟科技本身也是供应链安全中的重要一环，立足技术进步，持续提升供应链安全技术创新能力。未来，绿盟科技将继续秉承“巨人背后的专家”之使命，在社区的带领下，以创新为驱动、以实践为目标，与产业链各方携手努力，共促软件供应链安全技术创新和健康发展，为全面增强国家数字化转型的网络安全保障能力、共筑共建共享安全可信的软件供应链生态环境贡献绿盟力量。