当下,数字中国建设逐渐进入深水区,千行万业步入数字化转型征程,强算力、高性能、绿色低碳、安全稳固的硬件基础设施重要性已被充分认识,而数字经济底座另一极——软件应当具备什么样的特征,又如何打造高质量发展的产业生态?
12月29日,新华网客户端与至顶科技联合举办的《对话数字中国》栏目开播,本栏目由至顶科技CEO兼总编辑高飞主持,栏目邀请到中国工程院院士沈昌祥、华为云PaaS服务产品部副总经理汪维敏两位专家,围绕“如何打造安全可信的软件生态”议题,从国家安全、产业需求、软件工程、平台模式、工具产品、未来发展等多角度,探讨中国软件产业所面临的挑战和机遇。其中,“安全”、“效率”和“质量”成了对话中高频出现的关键词,华为云为软件工程打造“免疫系统”的技术积累与领先实践,也为行业提供了重要的标杆。
《对话数字中国》栏目现场
数字底座必须“安全可信”,软件工程呼唤“免疫系统”
众所周知,数字经济发展离不开“硬与软”,数字中国战略的推进,牵引相关产业水涨船高。工信部发布的《2022年软件和信息技术服务业统计公报》显示,2022年中国软件和信息技术服务业规模以上企业超3.5万家,累计完成软件业务收入108126亿元,同比增长11.2%,软件产业发展前景广阔。
但同时,软件产业高质量发展面临着种种挑战。沈昌祥院士援引《中华人民共和国网络安全法》,指出夯实网络安全需要尽快突破核心技术,重视软件安全,加快安全可信产品的推广应用,“没有安全可信,不可预知的风险就越大。”
这一点产业界有着切身体会,汪维敏表示,过去几年对软件供应链安全攻击事件每年增长6-7倍,已形成千亿美元级的灰色产业链,SolarWinds受攻击影响美国425家500强企业与十大电信公司、Kaseya供应链攻击事件波及17个国家上千家企业机构,都是造成高昂商业损失和社会危害的重 ,同时软件开发高度依赖开源代码,但开源项目每年新增漏洞层出不穷,严重影响软件供应链的安全性。
为软件构建“免疫系统”,已然成为软件产业高质量发展的关键所在。沈昌祥院士谈到网络空间保障体系,应当涵盖新的计算模式、二重防护架构、三重防护框架、四要素可信动态防护控制等,要全程管控、技管并重,并且用“进不去、拿不到、看不懂、改不了、瘫不成、赖不掉”生动形容了安全可信软件工程应当实现的防护效果。
要实现该目标,业界针对性地提出了软件供应链的主要攻击点,涵盖开发安全、编译构建安全、部署与运行安全,汪维敏进一步解析企业软件供应链安全的四个发展阶段:“第一是可供应、可生产,搭建出软件开发工具;第二是可发现、可感知,通过被动检测、事后检测发现问题;第三是主动防护、可管理,即‘良医治未病’;第四是全面防护、可追溯,即对所有动作可追溯可审计,对风险精准消除。”
打造安全可信软件开发平台,护航数字经济高质量发展
值得注意的是,从IT时代到互联网、移动互联网时代,再到当下的数字时代,软件开发平台的工具能力也在不断演进变化。对此沈昌祥院士谈到,软件开发平台集成了建模工具、二次开发包、基础解决方案等工具,不仅要将可信根与基础平台构成并行双体系结构,符合等保2.0安全可信标准,还要以用户为中心,在需求、设计、开发、测试、步骤和维护等各阶段提供支持,推动企业发展与创新。
这一思路与华为自身软件开发生产线布局与实践不谋而合,汪维敏透露,出于提升ICT产品质量、维护商业安全、实现长远可持续发展等考虑,华为数年前就开始全面推进可信变革,聚焦打造端到端、提前感知、精准消除、覆盖全生命周期的供应链安全解决方案,其自主研发的软件开发生产线工具CodeArts凝聚了华为30年研发实践,可对12大关键威胁点进行全面防御,覆盖11000个代码安全场景,提供超过30种恶意代码检测能力,不仅在内部为11万软件工程师日常所用,更实现外溢,服务超过1万家企业325万开发者。
值得关注的是,栏目与会嘉宾还谈到人工智能的迅猛发展,尤其是大模型的应用,既为软件行业带来新的挑战,也推动了软件开发流程的优化与创新。汪维敏介绍华为云发布的CodeArts Snap智能开发助手,在华为云研发大模型的支持下,可实现一句对话生成代码、一次点击自动注释和生成测试用例,为开发者提供更高效、更智能的开发体验,提升20%的研发效率,近期已正式开启公测。
最后,沈昌祥院士表达了对软件产业的建议与期许:第一,要树立软件机理安全可信生态观;要自主创新、自立自强,创建软件产品安全可信双体系架构;第三,打造主动免疫安全可信的软件工程产业空间,“安全可信是一个新问题,我们要在理念上创新、在核心体系结构上创新,也要在工程实践上不断创新。”
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。