当下,数字中国建设逐渐进入深水区,千行万业步入数字化转型征程,强算力、高性能、绿色低碳、安全稳固的硬件基础设施重要性已被充分认识,而数字经济底座另一极——软件应当具备什么样的特征,又如何打造高质量发展的产业生态?
12月29日,新华网客户端与至顶科技联合举办的《对话数字中国》栏目开播,本栏目由至顶科技CEO兼总编辑高飞主持,栏目邀请到中国工程院院士沈昌祥、华为云PaaS服务产品部副总经理汪维敏两位专家,围绕“如何打造安全可信的软件生态”议题,从国家安全、产业需求、软件工程、平台模式、工具产品、未来发展等多角度,探讨中国软件产业所面临的挑战和机遇。其中,“安全”、“效率”和“质量”成了对话中高频出现的关键词,华为云为软件工程打造“免疫系统”的技术积累与领先实践,也为行业提供了重要的标杆。
图为《对话数字中国》栏目现场
数字底座必须“安全可信”,软件工程呼唤“免疫系统”
众所周知,数字经济发展离不开“硬与软”,数字中国战略的推进,牵引相关产业水涨船高。工信部发布的《2022年软件和信息技术服务业统计公报》显示,2022年中国软件和信息技术服务业规模以上企业超3.5万家,累计完成软件业务收入108126亿元,同比增长11.2%,软件产业发展前景广阔。
但同时,软件产业高质量发展面临着种种挑战。沈昌祥院士援引《中华人民共和国网络安全法》,指出夯实网络安全需要尽快突破核心技术,重视软件安全,加快安全可信产品的推广应用,“没有安全可信,不可预知的风险就越大。”
这一点产业界有着切身体会,汪维敏表示,过去几年对软件供应链安全攻击事件每年增长6-7倍,已形成千亿美元级的灰色产业链,SolarWinds受攻击影响美国425家500强企业与十大电信公司、Kaseya供应链攻击事件波及17个国家上千家企业机构,都是造成高昂商业损失和社会危害的重大事件,同时软件开发高度依赖开源代码,但开源项目每年新增漏洞层出不穷,严重影响软件供应链的安全性。
为软件构建“免疫系统”,已然成为软件产业高质量发展的关键所在。沈昌祥院士谈到网络空间保障体系,应当涵盖新的计算模式、二重防护架构、三重防护框架、四要素可信动态防护控制等,要全程管控、技管并重,并且用“进不去、拿不到、看不懂、改不了、瘫不成、赖不掉”生动形容了安全可信软件工程应当实现的防护效果。
要实现该目标,业界针对性地提出了软件供应链的主要攻击点,涵盖开发安全、编译构建安全、部署与运行安全,汪维敏进一步解析企业软件供应链安全的四个发展阶段:“第一是可供应、可生产,搭建出软件开发工具;第二是可发现、可感知,通过被动检测、事后检测发现问题;第三是主动防护、可管理,即‘良医治未病’;第四是全面防护、可追溯,即对所有动作可追溯可审计,对风险精准消除。”
打造安全可信软件开发平台,护航数字经济高质量发展
值得注意的是,从IT时代到互联网、移动互联网时代,再到当下的数字时代,软件开发平台的工具能力也在不断演进变化。对此沈昌祥院士谈到,软件开发平台集成了建模工具、二次开发包、基础解决方案等工具,不仅要将可信根与基础平台构成并行双体系结构,符合等保2.0安全可信标准,还要以用户为中心,在需求、设计、开发、测试、步骤和维护等各阶段提供支持,推动企业发展与创新。
这一思路与华为自身软件开发生产线布局与实践不谋而合,汪维敏透露,出于提升ICT产品质量、维护商业安全、实现长远可持续发展等考虑,华为数年前就开始全面推进可信变革,聚焦打造端到端、提前感知、精准消除、覆盖全生命周期的供应链安全解决方案,其自主研发的软件开发生产线工具CodeArts凝聚了华为30年研发实践,可对12大关键威胁点进行全面防御,覆盖11000个代码安全场景,提供超过30种恶意代码检测能力,不仅在内部为11万软件工程师日常所用,更实现外溢,服务超过1万家企业325万开发者。
值得关注的是,栏目与会嘉宾还谈到人工智能的迅猛发展,尤其是大模型的应用,既为软件行业带来新的挑战,也推动了软件开发流程的优化与创新。汪维敏介绍华为云发布的CodeArts Snap智能开发助手,在华为云研发大模型的支持下,可实现一句对话生成代码、一次点击自动注释和生成测试用例,为开发者提供更高效、更智能的开发体验,提升20%的研发效率,近期已正式开启公测。
最后,沈昌祥院士表达了对软件产业的建议与期许:第一,要树立软件机理安全可信生态观;要自主创新、自立自强,创建软件产品安全可信双体系架构;第三,打造主动免疫安全可信的软件工程产业空间,“安全可信是一个新问题,我们要在理念上创新、在核心体系结构上创新,也要在工程实践上不断创新。”