实力上榜｜默安科技入选2024年度电力行业开源典型实践案例集

近日，中国电力发展促进会正式发布《2024年度电力行业开源典型实践案例集》，默安科技应用于某省级电力企业的“某电网供应链开源软件风险检测系统建设”项目，经过组委专家的联合审定成功入选。

本次评选活动是由中国电力发展促进会联合中国信息通信研究院共同组织，根据“十四五”规划纲要和近期党中央、国务院有关开源工作的重要部署开展的电力行业开源实践案例征集工作。旨在推选出一批具有较高技术水平、较强代表性、示范性、创新性和可推广性的电力行业开源治理应用实践，为电力行业企业提供开源治理工作的参考和借鉴。

当前国内电网软件应用开发以自研为主，结合外包支撑的联合开发模式予以实现。此模式下的软件架构安全及软件依赖的基础IT设施安全缺乏实际掌控力，对软件开发商开发过程及交付制品缺乏有效的技术量化指标和安全评价标准，导致交付的软件产品存在安全隐患。而传统的代码审计、渗透测试、风险评估手段很难发现深层次的物料清单依赖关系导致的安全风险。

本次项目建设为健全和完善该电力企业软件供应链风险评价体系提供技术支撑和制度保障。在软件开发环节，针对软件开发商提出具体的软件供应链风险管控安全措施及要求，以及可量化的考核指标；在交付环节，通过相应的检测工具进行安全检查，从代码开发源头和上线环节加强软件供应链风险管控，弥补当前该企业软件供应链风险监管的短板和不足。

本项目依托默安科技自主研发的雳鉴-软件供应链风险评估平台中的开源软件风险检测分析、软件供应链知识图谱和供应商管理评估等能力，大幅提升开源组件漏洞、应用漏洞、许可证风险等检测评估能力，提升软件资产透明度，加快组件漏洞事件应急响应效率，提升软件代码和组件自主可控风险预判评估水平。通过汇集存量及增量系统源代码、部署包等软件核心资产，梳理形成企业软件组件清单库，深度识别组件和代码层面的安全风险，建立健全该企业的整体软件供应链安全治理能力，为新型电力系统建设提供更加坚实的技术和制度保障。

图  雳鉴-软件供应链风险评估平台架构图

本次默安科技建设的该电力企业供应链开源软件风险检测系统，创新且有效地承接了企业所属电网集团的信息系统并网管理工作要求，实现该企业软件供应链风险评价技术指标零的突破，提升针对软件供应链攻击风险的防护能力，支撑电力行业关基系统的软件供应链风险评估工作。同时，本次项目建立了电力行业首套软件物料清单模型，为建立基于软件物料清单的行业软件代码风险全景视图、开展行业软件代码风险管理和情报共享奠定技术底座。

本次案例的入选，是对于默安科技软件供应链安全服务能力的再次认可。未来，作为软件供应链安全领域的头部厂商，默安科技将持续发挥技术创新优势，推动软件供应链安全在各行业的实践落地，为数字经济高质量发展贡献更多安全力量。