近日，《网络安全技术 软件供应链安全要求》（GB/T ‪43698-2024‬）国家标准正式发布，并将于2024年11月1日正式实施。5月30日，中国软件评测中心公布了首批通过软件供应链安全能力评估的产品，浪潮信息服务器操作系统云峦KeyarchOS（简称KOS），凭借在组织制度、机构及人员管理、软件开发交付等方面的严格把控成功入选，在目前操作系统业内位列最高等级，验证了浪潮信息在操作系统方面构建了极具韧性的供应链体系。

为了更好地帮助企业、用户识别软件供应链安全风险，促进软件供应链安全能力提升，中国软件评测中心日前开展了软件供应链安全能力评估，主要涵盖组织管理、供应链活动管理两个能力域。

机构管理方面，浪潮信息在产品安全委员会下特设软件供应链安全组织，负责软件供应链安全体系的管理、执行及审计；同时成立系统软件安全团队，牵头日常供应链安全管理跟踪，以及安全设计、安全开发、安全基线、安全测评等工作。

人员管理方面，从岗位资格要求入手，规范包含从事软件需求分析、安全设计、漏洞分析挖掘、安全技术支持与预研等工作的人员资格要求。例如，三级软件研发岗位任职资格包括基于前沿安全攻击技术，具备产品漏洞挖掘利用能力等。同时，安全部门定期对相关人员进行考核培训，2023年共计完成11个通用安全课程与25个安全专家课程培训。

供应商管理方面，在引入阶段，对供应商技术能力、质控能力、供货及服务能力等进行综合评审，并对其管理体系认证、企业社会责任、贸易安全、网络安全和信息安全、财务状况等进行风险评估；在引入后，从商务、质量、技术等方面完成季度、年度评估，并从软件维度进行分级管理。

软件开发方面，制定《开发安全流程》，将安全内建于产品规划、需求分析、设计开发与验证、发布与维护等产品全生命周期过程中。在BSIMM软件安全成熟度评估中，浪潮信息软件产品在战略指标、合规政策、攻击模式等9个实践项目均获得最高3级评分，在128家全球参与企业中位列第一梯队。此外，浪潮信息于2023年7月获得《ISO28000供应链安全管理体系认证证书》。

软件采购及获取方面，邀请产品安全专家参与供应商和软件安全审查，通过对供应商供应连续性、信息安全体系、数据安全体系、产品研发安全体系、产品安全性的全面评估，规避外部引入软件的安全风险。此外，浪潮信息制定《开源软件管理规范》，明确开源软件从来源合法性、完整性、准确性、安全性、合规性、可持续性进行风险评估，同时研发了安全活动管理平台，对开源组件引入申请和审批及评估信息进行统一管理。

软件交付方面，制定了研发项目配置管理、版本发布、安全部署、安全维护等工作的流程规范，通过项目交付物归档、版本发布安全评估、产品交付完整性校验及安全加固、维护阶段应急响应等措施，实现KOS产品版本全生命周期安全风险消减及完整性保护覆盖。

正是基于以上多方面的努力，KOS顺利通过本次软件供应链安全能力评估。截至目前，KOS累计装机量突破25万台，广泛服务于金融、教育、能源、通信等关键行业，为用户提供稳定可靠、安全易用、高性能的操作系统底座。

早在2015年，浪潮信息将JDM商业模式的探索同供应链创新相结合，同时融入人工智能、5G、边缘计算、云计算等新技术，构建了敏捷灵活而有韧性的供应链体系。该供应链体系保障了浪潮信息在疫情中保持业务稳步增长，并相继获得哈佛商业论“鼎革奖”、IDC数字供应链“领导者”奖等重磅奖项。云峦KeyarchOS是浪潮信息基于Linux内核、龙蜥等开源技术自主研发的一款服务器操作系统，首批参与软件供应链安全能力评估并定级为最高等级。这再次证实浪潮信息构建了极具韧性的供应链体系，基于较高的软件供应链安全风险管理、组织管理和供应活动管理能力，保障软件和业务系统持续稳定运行。