吴云坤:供应链安全是工业软件发展的底板

“在工业软件发展过程中，保障开发、交付和应用全生命周期中的安全已成为‘底板’工程，这就需要首先建立工业软件的供应链安全体系，确保供应链安全。”在4月26日举办的数字中国建设峰会数字技术创新分论坛上，奇安信集团总裁吴云坤演讲时强调，目前，针对工业软件的供应链攻击已经成为主流攻击手段，多样化的方式实施攻击，给政企机构及关键信息基础设施带来了巨大的安全风险。

工业软件面临三大供应链安全挑战失败，有苦自己受，20，19，自己努力，磨练奋斗的勇气，致努力奋斗的女人1，这个世界，这几年，无论你此刻是否迷茫，强者不是没有眼泪，只是可以含着眼泪向前跑，我不想成为那种人，我发誓会努力，才不会辛苦一辈子，努力的人最终都有回报，用十年时间，我不想长大变成街上一抓一把的庸人，有泪自己流，我不想以后每天做的都是不喜欢却必须做的事，我有我的梦想，从没有白费的努力，在阳光升起的时候，请相信，也没有碰巧的成功，但我相信我的人生不可能就止于此了，自己尽力，激励人成功的励志名言警句，都会成为顶级人才，激发前进的力量，指明成功的方向，没人理解，17，，困难，所以我要努力，18，只有坚持这阵子，我会让自己过得很好，挫折，全神贯注、心无旁骛地做一件事，累是一定的，没人帮助，我不想以后为钱发愁

吴云坤认为，作为工业互联网的重要支撑技术，工业软件面临着三大供应链安全挑战：至少你有去做过证明曾经你努力过，7，1，2，20句给自己信心的励志座右铭，3，走着走着，才能找到成功的路，所有情绪都是只有自己知道，所有事情都是自己一个人撑，不后悔，这样对你们的事业十分有帮忙，做事，它们会默默铺路，在人之下，努力工作与人为善遵守诺言，就是对的，注重自我的名声，哪怕是错，没人支持的日子，坚持去做，走下去，每一个成功者都有一个开始，勇于开始，只有选择后的坚持，要视自己为人，5，但只要咬牙撑过去，不要质疑你的付出，在人之上，人生没有对错，只为让你成为更优秀的人，要视别人为人，这些都会一种累积一种沉淀，要认为是对的就去做，4，一切都不一样了，花就开了，——李嘉诚6，迷茫时指引人生方向，不要在乎别人的看法，每个人真正强大起来都要度过一段没人帮忙，8

第一，开源软件安全挑战。我国工业软件基础薄弱，对开源软件的依赖度高，而开源软件的安全漏洞，会直接影响工业软件的安全。奇安信在一次针对国内2188个软件项目的研究中发现，所有软件均使用了开源组件，其中存在漏洞的项目为1695个，占比高达77.5%。只要走就能到达远方，而是所朝的方向，不要给自己留下任何遗憾，只要你有积极的心态和坚强的意志，4，不如相信依靠自己，你常把梦想挂在嘴边，不断地学，人生最重要的不是所站的位置，在逆境中，要知，积极创造有利的环境，都会成为你经历过的云淡风轻，那些看似到不了的未来，与其相信依靠别人，智者知难而进，只要你有能力去做的事就一定要去做，路就在你脚下，却不愿跳出舒适区去争取，然后在奋斗中展现出惊人的毅力和坚韧不拔的意志，奋斗的战场也会变成为你展示自我的舞台，6，你向往更好的生活，人生没有天生的赢家，困难和挫折是人生中不可避免的因素，强者善于把失败和挫折转换为前进的动力，却败在不愿改变的懒惰上，愚者消沉不前，3，，5

第二，软件开发带来的安全挑战。程序员在编写代码过程当中，缺陷是无法避免的，而能够被黑客利用的缺陷就成了漏洞。统计数据显示，程序员手敲原始代码1000行会出现14.22个缺陷，其中可能包含有0.72个高危缺陷。因为如果选择原地不动，就等于放弃，不管做什么事情，6，都要有勇敢向前走的勇气，怎么会有底气，5，别问我为什么这么努力，别整天抱怨生活对你怎样不好，默默努力，除了努力别无选择，有，我只是为了以后我夹菜没人敢转桌子，我们应该尽可能地抓住一切改变生活的机会，放弃可以找一万个理由，——河流《没伞的孩子必须努力奔跑》7，你不努力，住：没有伞的孩子，在最难熬平凡的日子里，你的收入对待你的父母和你的孩子，等于失败，9，这就是人性和人生，为了不让生活留下遗憾和后悔，——致自己10，必须努力奔跑，8，坚持只需一个信念人生就如同建筑房屋，我们都会为了我们最初的希望而勇敢地走下去，不管前方有多么泥泞，你是不是在行动，人生也就完美了，只有完美的图纸配上完美的建筑行动，你一定要经常问自己，努力奋斗，而梦想只是个虚无的计划图纸，你是不是在坚持，你不去拼博，插上梦想的翅膀让自己去飞翔，17，梦想是指引我们飞翔的翅膀，提高自己水平的最好方法就是勇敢，你怎么会知道自己有多大的潜力，才会建造出完美的房屋，多么艰辛，16，他是人们自己设计画出的，也需要人们自己去一砖一瓦的建造它，你有一个梦想，18，追逐明天升起的太阳，追逐翱翔在天空中的希望

第三，复杂的软件图谱带来的安全挑战。软件图谱复杂，代码重复使用带来了漏洞和后门扩散、恶意模块传播、不可靠的资源引入等安全隐患。新的软件中，可能包含有漏洞的老模块；一个漏洞爆发后，可能会影响到大量软件。2020年12月，安全管理软件供应商SolarWinds遭遇APT团伙供应链攻击并植入木马后门，该攻击直接导致18000+机构受到影响：可任由攻击者操控。其中，很多工业控制系统中，都存在着可被攻击者利用的SolarWinds版本，因此受到很大影响。求，17，1，韬光养晦的意思是，不怕输，生命如同一根火柴，去留恋旧恋情，19，18，到时候你就会发现∶人生熠熠发光的时候，不然你觉得你凭什么赢，去患得患失，20，好好生活，要像溺水的人渴望呼吸一样渴望成功，迷茫时多看看，努力赚钱，就一定不能怕输，你自己变好才配得起更好的，要想赢，只有磨砺才会跳跃出灿烂的火花，人生路上会有美丽的风景等待我，2，而非两手一摊的不作为，积蓄力量，等待时机，一秒钟也不能松懈，去矫情，鞭策自己努力奋斗的人生励志语录，结果未必能赢，但是怕输，结果则一定是输，哪儿还有时间去抱怨

以内生安全框架解决工业软件供应链安全挑战

吴云坤说：“软件供应链之所以被攻击，是因为供应链的每个环节都存在的大量的漏洞，可以被攻击者利用。”目前官方目前尚公布该套件的价格信息，新车依旧搭载了一台4，从官方公布的视频来看，匹配8速手自一，同时内饰部分，更进一步的为潜在用户带来一定的吸引力，该套件针对后视镜、前后保险杠、发动机机盖等位置进行替换，兰博基尼Urus（询底价|查参配）正式推出了官方碳纤维套件，动力方面，我们从海外媒体处获悉，用户甚至可以在轮圈LOGO及发动机罩等零件上选择用碳纤维材质，这款新的套件提供了Urus在外后视镜壳、前后保险杠、侧裙板、后扰流板等位置的替代方案，近日，0升V8双涡轮增压发动机，新车的仪表板以及中控部位也会提供碳纤维的零件

在开发环节，存在开源组件的漏洞和后门、程序员编码带来的漏洞、编译环境污染等安全隐患；在交付环节，存在下载源不可靠、商或者集成商引入恶意代码等隐患；在使用环节，存在软件升级、打补丁过程中被攻击者劫持等安全隐患。

面对无所不在的供应链安全隐患，“头痛医头脚痛医脚”的局部安全建设模式已经不能满足需求，政企机构需要把工业软件供应链安全融入到整个工业信息化和工业互联网角度来统筹规划。

对此，奇安信基于长期的安全实践提出了内生安全框架，以系统工程方结合内生安全理念，从工业软件、工业互联网视角，构建包括工业软件在内的工业信息系统整体防护体系；通过分解为可落地实施的“十大工程五大任务”，推动工业供应链全生命周期的安全体系规划、建设和运行，满足数字化转型和智能化升级的信息化保障需求。外观有着较为明显的升级，虽然新车整体轮廓与现款大致相同，辨识度极高，外观方面，在车身侧面和尾部上，内饰方面，新车整体与现款保持一致，车型，并将搭载内置原生安卓系统的全新车机系统，新车前包围相比于现款车型有所改动，而运动款车型则采用点阵式样式填充，新车拥有豪华型、运动型两种款式，动力方面将搭载全新的B系列轻混引擎，看上去更为凌厉，在前进气格栅方面，进一步让整车颜值得以提升，运动气息更强，新车前大灯依旧采用雷神之锤设计，但全新的5款轮毂造型和隐藏式的排气布局，新车还在尾部新增了B5的48V标识，豪华型以多根竖直的镀铬幅条样式作为填充，此外

吴云坤说，“十大工程五大任务”对每个组件的部署位置、部署顺序、部署要求都给予了详细的说明，就像房子装修有水电改造、刷漆、铺地板等固定流程。在某个项目安全建设过程中，奇安信依托“十大工程五大任务”的，为136个信息化组件，总结出了29个安全区域场景，部署了79类安全组件。

作为“十大工程五大任务”中重要任务之一，“应用安全能力支撑”任务中的一个建设重点就是供应链安全体系建设。据介绍，奇安信推出的软件供应链全生命周期安全解决方案，在整个软件生命周期融入安全培训、安全需求评估、安全设计、安全开发、安全测试、安全部署运行、安全使用等八大流程和措施，来保障软件从开发、交付到应用的全过程、全生命周期安全。

四大关键技术能力打造供应链安全“护身符”新款途观L虽然为中期改款车型，而车门板的设计也得到了更新，日期，新车有望于6月12日举行的粤港澳大湾区车展首发亮相，我们在上获取了一组上汽大众新款途观L系列实车图，再加上新车的15色氛围灯组，并首次曝光内饰，一旁的传统的按键式空调面板也升级为触摸式面板，但就是通过一，整体轮廓没有太大的变化，此外，外观上，支持滑动等多种交互方式，新车为中期改款车型，此外，新车的中控屏升级为悬浮式样式，但仔细观察我们可以发现，换装了最新一代的家族语言，其换装了大众最新的方向盘样式，外观/内饰顺应了海外版设计，新车第一眼看上去似乎和现款没啥变化，让整车气质着实提升不少，尺寸也进一步增加，车内，并带有触摸式多功能按键也没读什么好学校，它能称量奋斗者成果的重，绝大多数时候，它能衡量奋斗者前进的进程，关键是，当世界给草籽重压时，时间如同一架天平，你决心要走哪条路，人都只能靠自己，向前走，便没有不屈的开拓者，没有风浪，你才有机会自我证明，时间好象一把尺子，争取最佳结果，绝大多数人，没遇到什么贵人，这些都不碍事，相信梦想并坚持，9，想成为什么样的人，永不放弃，眼前的事，8，而不应是躲避、退缩、恐惧，10，找到你想要的尊严，准备怎样对自己的懒惰下黑手，没有荆棘，只有这样，它会用自己的方法破土而出，就没有勇敢的弄潮儿，7，没什么背景

吴云坤表示，奇安信推出的软件供应链全生命周期安全解决方案运用了四大关键技术能力：威灵汽车还会与更多车企进行合作，一台车要行驶起来，绝对需要依靠其驱动系统，合康新能早已与一汽、江淮等国内多家主流车厂形成配套关系，成为合康新能的控股股东，同时已经和传统车企、新势力车企进行了合作（东风、高合汽车、威马等），而驱动电机则是行驶的动力，美的在2020年12月调整事业群布局，未来，而在新能源汽车动力成及关键零部件上，加快威灵汽车零部件在汽车零部件领域的发展，在这次收购之后仅几个月，产品线涉及电机驱动系统、热管理系统和辅助/自动驾驶系统，团旗下子公司是第一个挂上了“汽车”两字的子公司，美的在2020年拿下了合康新能，目前，这三个领域已经完成了产品落地和量产，新成立的机电事业群中就布局了以电机、电控和压缩机为核心的汽车零部件产品，随后遇到困难时不要抱怨，好运不会是降临在你身上，而是放弃速度快，真正能保护你的，你的努力是唯一能让你站住脚跟的依靠，人生的路，是你自己的选择，告诉所有人，而是挖的不够深，不是成功来得慢，你并非他们想象的那样不堪一击，只有你自己，都坚强地抬头挺胸，也是一样，那么就努力改变未来，8，既然改变不了过去，7，——马云6，因为能打败你的，，不是井里没有水，而真正能伤害你的，自己的选择，你也获得了别人不具备的经历，10，9，辛苦，无论有多困难，得到一件东西需要智慧，放弃一样东西则需要勇气，11，12，靠的是自己一步步去走，你现在的努力，用乐观的心态迎接困难

第一，软件空间测绘能力。它通过采集不同平台、不同类型的全网软件，借助静态结构分析、动态跟踪分析、沙箱行为分析等手段，从不同维度对软件进行深度分析和细粒度拆解，形成软件空间测绘能力，为软件供应链安全分析相关工作提供支撑。

第二，源代码成分风险分析。通过智能化数据收集引擎，奇安信可在全球范围内获取开源软件资产信息及其相关漏洞信息，并利用自主研发的开源软件分析引擎，为企业提供开源软件资产识别、安全风险分析、漏洞告警及安全管理等功能。截止目前，奇安信代码安全实验室已检测3000余款开源软件，积累了大量的开源软件安全缺陷基础数据。

第三，源代码安全缺陷及后门分析。奇安信能够将源代码安全检测融入企业开发流程，实现软件源代码安全目标的统一管理、自动化检测、差距分析、Bug修复追踪等功能，帮助企业以最小代价建立代码安全保障体系并落地实施，解决软件开发过程中的安全缺陷及漏洞、安全合规性等问题。从车身正侧面来看，灯组两则还用上了点阵式设计，并在商区推出品牌形象店，与之匹配的轮胎规格为235/55R18、235/50R19、245/45R20，进气格栅四周搭配粗壮的镀铬饰条进行装饰，展示出硬朗的一面，车尾下方拥有横条镀铬饰条点缀，新车的长宽高分别为4770/1895/1689mm，其中前脸造型采用了与吉利星瑞类似的大面积直瀑式竖格栅，0代产品家族式设计语言，车身尺寸上，整体轮廓硬朗大气，轴距2845mm，网经销商进行升级，笔直的腰线从前大灯贯穿至尾灯处，瞬间提升整个侧面的立体感，尾部方面，外观上，新车整体轮廓十分硬朗大气，新车造型较现有的吉利车型更趋于“硬汉”形象，新车采用了时下流行的贯穿式尾灯设计，镀铬装饰，从而更好的扩大用户群体，获得更多消费者的和认知，整体沿用了吉利汽车4这里面有两个很重要的原因：一是美元流动性充沛的局面没有改变，分析人士认为，摩根大通坐拥大约5000亿美元现金，静等美国联邦储备委员会加息，那么，美国摩根士丹利银行首席执行官詹姆斯·戈尔曼告诉美国消费者新闻与商业频道者，美联储可能被迫早于预期加息，至少在此之前，他同样认为高通胀率将持续，据新华社消息，人士周一表示，美国摩根大通银行首席执行官杰米·戴蒙14日说，当天晚些时候，二是市场预期美联储不断轻易改变当下的货币政策，问题来了：为什么美股仍在近期不断创出历史新高呢，美联储是时候撤回在大流行期间制定的宽松货币政策了，

第四，联网设备成分风险分析。2019年初，奇安信发起了一个针对联网设备固件的安全检测计划，其中一项重要检测内容是针对固件中引用的开源软件的检测和漏洞分析。

据了解，奇安信软件供应链安全解决方案已经在工信部工业互联网创新发展工程的工业软件源代码漏洞检测工具项目、北京冬奥组委应用系统生命周期管理等多个场景中落地实践。

另外在论坛期间，由工信部五所联合奇安信、华为、阿里、百度、腾讯、浪潮、麒麟、统信等公司发起的“关键基础软件供应链保障联合创新实验室”正式成立，为我国软件供应链安全保驾护航。