在黑天鹅与灰犀牛纷至沓来的经济环境中、在动荡且焦躁的国际环境中，尤其在俄乌战争中已经被证实的科技和商业变为政治工具的事实下，软件供应链安全问题已经一跃成为全球瞩目的焦点。

　　为了保障我国数字经济的健康持续发展、为了帮助国家建立更加完善的数字安全屏障，数世咨询发起并组织了软件供应链安全研讨会，特别邀请了中国信息通信研究院、软件供应链安全社区秘书处的李金华，工银科技有限公司、安全团队负责人赵鑫，神州数码安全解决方案总经理刘通参加，从监管、科研和应用层面探讨软件供应链安全问题。

　　李金华为大家介绍了软件供应链安全社区以及正在进行和未来计划的工作，还与参会企业沟通了加入社区的流程以及责任与义务，最后特别说明了软件供应链安全能力成熟度（SSC-CMM）评估试点专项工作，为大家答疑解惑。  

　　赵鑫与大家分享了工银科技在软件安全开发生命周期面临的挑战及建议，以业务应用的角度介绍了工银科技安全团队在应对开发安全问题时做出的有效措施，展示了卓有成效的防护成果。最后系统阐述了开发安全体系建设的规划和建议，使参会者受益匪浅。（因李金华和赵鑫属于内部分享，故本次纪实录像暂不公开）

　　最后，上述分享者以及神州数码安全解决方案总经理刘通和软件供应链安全核心能力提供者比瓴科技、酷德啄木鸟、思客云、孝道科技、四维创智、边界无限、云智信安高层参与了讨论。

　　在研讨过程中大家一致认为，持续应用安全（CAS）理念与现阶段我国软件供应链安全现状十分匹配。安全能力高度融合、统一调度和管理的体系化产品可以帮助用户达到减少资源投入、整合安全能力和提升安全效率的目的。

　　靳慧超在分享中提出，持续应用安全CAS就是要保证数字化应用的构建、上线和运行全流程的安全状态。一项业务是由不同的应用相互协作而实现的，如图所示，我们把带颜色的圆圈看作一个个不同的应用，每一个应用都要经过持续应用安全全流程的防护，主要包括软件成分分析、静态安全测试、交互安全测试、模糊测试、动态安全测试、运行时防护以及移动业务风险与合规检测，这些安全能力通过一体化平台的自动化编排能力嵌入到DEVOPS的CI/CD流程中，并且将各种安全能力产生的安全数据进行统一的关联分析从而产生更加精确和优化的持续应用安全CAS数据。

　　当不同的应用组合到一起形成一项业务的时候，不同的CAS 数据就可以形成CAS迭代数据流，而这样的CAS迭代数据流就可以作为业务安全的威胁情报来支撑业务的风险管理，这样就实现了真正的安全能力可持续发展。

　　数世咨询欢迎更多的能力提供者、行业用户以及科研和监管机构可以加入到持续应用安全CAS的研究与探讨中，尽快研制出属于我国的软件供应链安全整体解决方案。

　　有意者可以后台留言或者来网安小酒馆面谈。

参考阅读
零日漏洞：暴利且危险
什么是 SBOM（软件物料清单）
简说开源网络安全构架（OCSF）