360首席安全官杜跃进：信创软件已成高水平攻击的首要目标

近日，2022年全国博士后信息创新与人工智能发展学术论坛在线举行。该论坛由全国博士后管理委员会办公室、中国博士后科学基金会等单位共同主办，天津科技大学、天津市人力资源和社会保障局等单位联合承办。360集团副总裁兼首席安全官、天津智慧城市数字安全研究院院长杜跃进出席会议并发表了“信息创新安全的挑战与对策”的演讲。

目前，随着国内信息替代浪潮的兴起，我国已经进入大信息创新时代，这给信息创新带来了巨大的安全挑战。杜跃进明确指出“你做的不等于安全”。数字化的一个典型特征是“一切都可以被编程”，这意味着漏洞难以避免。据统计，每千行代码中会出现4-6个漏洞，漏洞的产生是不以人的意志为转移的，成为软件安全的最大隐患。

面对新创产业的蓬勃发展，杜跃进对安全形势表示担忧，认为当前新创安全建设面临时间紧、范围大、积累少三大挑战。信息安全涉及很多方面，从底层的IT基础到顶层的业务应用，需要同步设计和实现，但是基础非常薄弱。目前国内新创相关厂商的安全意识和安全能力普遍不足，安全人才和技术的积累缺乏。在当今日益复杂的国际形势下，新创用户成为高级别攻击者的首要目标。

杜跃进表示，目前最突出的问题在于“安全”。大量新创产品存在严重的缺陷和漏洞问题，新创软件安全是最迫切需要解决的问题。既是整个新创安全体系的基础，也是目前最需要补上的短板。2021年，在新创安全技术委员会的领导下，举办了首届新创重点产品安全挑战赛。大赛发现新创产品存在大量高危漏洞和长期未修复的漏洞，对参赛的新创厂商有很大帮助。

然而，面对巨大的风险和挑战，整体来看，新创厂商的安全意识和实战能力普遍不足。新创软件在设计开发阶段没有充分考虑安全问题，没有经过大规模实战的检验。即使国家密集出台了相关安全法规，但一些厂家仍然缺乏足够的安全意识，对安全检测不够重视，甚至对安全产生抵触情绪，存在“捂盖子”的心态。

杜跃进表示，在能力和积累上，新创厂商也有短板，安全投入有限，在安全开发、安全测试、漏洞响应和修复等方面能力不足。创意产业在安全生态建设、基础研究环境、安全人才培养等方面有待完善。在新创软件严重依赖开源组件的情况下，由于复杂的国际局势带来的不确定性，新创产品面临漏洞、恶意代码、预设后门、底层架构失效等风险。

为推动新创安全领域发展，新创安全技术委员会于2021年正式启动“护航计划”，启动了新创重点产品安全挑战赛、新创安全联合实验室、新创安全人才培养与技术创新联盟、新创安全公益支持项目，汇聚网络安全精英力量，助力新一代信息技术应用与创新产业高质量发展。为解决广受关注的软件供应链安全问题，360推出开源软件安全分析与治理平台，赋能新创产品供应商和新创用户，全力推动中国新创产业安全稳定发展。

郑重声明：此文内容为本网站转载企业宣传资讯，目的在于传播更多信息，与本站立场无关。仅供读者参考，并请自行核实相关内容。