自主可控—保障软件供应链安全的“重中之重”

近日人民网发布了一篇由中科院院士撰写的文章《自主可控方得网络安全（大家手笔）》，其中明确的提到“为了保障网络安全，必须实现技术、产品、服务、系统的自主可控，需要在质量测评、安全测评的基础上增加自主可控测评。”

（部分原文）

网络安全是国家安全的重要基础，也是经济安全、社会安全、民生安全的重要保障。网络安全属于非传统安全，其内涵比传统安全的内涵更加广泛。国家网信办公布的《网络产品和服务安全审查办法(试行)》把网络安全审查分成“安全性”审查和“可控性”审查，其中的安全性审查与传统安全的要求相类似，而可控性审查在传统安全中强调得比较少，但同样需要不断健全和完善。

当前，我国网信领域要求采用自主可控技术、产品、服务、系统的呼声越来越高，这里的“自主可控”强调的就是可控性。自主可控是实现网络安全的前提，是一个必要条件，但并不是充分条件。换言之，采用自主可控的技术不等于实现了网络安全，但没有采用自主可控的技术一定不安全。因此，为了实现网络安全，首先要实现自主可控，再实现传统意义上的安全，最终再结合其他各种安全措施，达到保障网络安全的目标。

背景及工具

随着各行业对网络安全的需求日益迫切，各重要系统对软件代码安全保障的需求不断增加，软件代码安全产业和软件供应链安全已成为强国建设的基础保障。

CoBOT是由北京北大软件工程股份有限公司和北京大学软件工程国家工程研究中心联合自主研发的一种C / C++ / JAVA / VB.net / C#.net / Scala / Groovy / Kotlin源代码缺陷检测工具，实现以先进科技、智能软件安全检测为中枢的测试手段，助力软件源代码安全检测实施及工作的开展，加强对软件产品质量监督检验的力度，夯实软件产品安全检测能力，保障软件产品及系统