華爲雲對話沈昌祥院士:如何爲軟件生態打造“免疫系統”

(原標題:華爲雲對話沈昌祥院士:如何爲軟件生態打造“免疫系統”)

當下,數字中國建設逐漸進入深水區,千行萬業步入數字化轉型征程,強算力、高性能、綠色低碳、安全穩固的硬件基礎設施重要性已被充分認識,而數字經濟底座另一極——軟件應當具備什麼樣的特徵,又如何打造高質量發展的產業生態?

12月29日,新華網客戶端與至頂科技聯合舉辦的《對話數字中國》欄目開播,本欄目由至頂科技CEO兼總編輯高飛主持,欄目邀請到中國工程院院士沈昌祥、華爲雲PaaS服務產品部副總經理汪維敏兩位專家,圍繞“如何打造安全可信的軟件生態”議題,從國家安全、產業需求、軟件工程、平臺模式、工具產品、未來發展等多角度,探討中國軟件產業所面臨的挑戰和機遇。其中,“安全”、“效率”和“質量”成了對話中高頻出現的關鍵詞,華爲云爲軟件工程打造“免疫系統”的技術積累與領先實踐,也爲行業提供了重要的標杆。

圖爲《對話數字中國》欄目現場

數字底座必須“安全可信”,軟件工程呼喚“免疫系統”

衆所周知,數字經濟發展離不開“硬與軟”,數字中國戰略的推進,牽引相關產業水漲船高。工信部發布的《2022年軟件和信息技術服務業統計公報》顯示,2022年中國軟件和信息技術服務業規模以上企業超3.5萬家,累計完成軟件業務收入108126億元,同比增長11.2%,軟件產業發展前景廣闊。

但同時,軟件產業高質量發展面臨着種種挑戰。沈昌祥院士援引《中華人民共和國網絡安全法》,指出夯實網絡安全需要儘快突破核心技術,重視軟件安全,加快安全可信產品的推廣應用,“沒有安全可信,不可預知的風險就越大。”

這一點產業界有着切身體會,汪維敏表示,過去幾年對軟件供應鏈安全攻擊事件每年增長6-7倍,已形成千億美元級的灰色產業鏈,SolarWinds受攻擊影響美國425家500強企業與十大電信公司、Kaseya供應鏈攻擊事件波及17個國家上千家企業機構,都是造成高昂商業損失和社會危害的重大事件,同時軟件開發高度依賴開源代碼,但開源項目每年新增漏洞層出不窮,嚴重影響軟件供應鏈的安全性。

爲軟件構建“免疫系統”,已然成爲軟件產業高質量發展的關鍵所在。沈昌祥院士談到網絡空間保障體系,應當涵蓋新的計算模式、二重防護架構、三重防護框架、四要素可信動態防護控制等,要全程管控、技管並重,並且用“進不去、拿不到、看不懂、改不了、癱不成、賴不掉”生動形容了安全可信軟件工程應當實現的防護效果。

要實現該目標,業界針對性地提出了軟件供應鏈的主要攻擊點,涵蓋開發安全、編譯構建安全、部署與運行安全,汪維敏進一步解析企業軟件供應鏈安全的四個發展階段:“第一是可供應、可生產,搭建出軟件開發工具;第二是可發現、可感知,通過被動檢測、事後檢測發現問題;第三是主動防護、可管理,即‘良醫治未病’;第四是全面防護、可追溯,即對所有動作可追溯可審計,對風險精準消除。”

打造安全可信軟件開發平臺,護航數字經濟高質量發展

值得注意的是,從IT時代到互聯網、移動互聯網時代,再到當下的數字時代,軟件開發平臺的工具能力也在不斷演進變化。對此沈昌祥院士談到,軟件開發平臺集成了建模工具、二次開發包、基礎解決方案等工具,不僅要將可信根與基礎平臺構成並行雙體系結構,符合等保2.0安全可信標準,還要以用戶爲中心,在需求、設計、開發、測試、步驟和維護等各階段提供支持,推動企業發展與創新。

這一思路與華爲自身軟件開發生產線佈局與實踐不謀而合,汪維敏透露,出於提升ICT產品質量、維護商業安全、實現長遠可持續發展等考慮,華爲數年前就開始全面推進可信變革,聚焦打造端到端、提前感知、精準消除、覆蓋全生命週期的供應鏈安全解決方案,其自主研發的軟件開發生產線工具CodeArts凝聚了華爲30年研發實踐,可對12大關鍵威脅點進行全面防禦,覆蓋11000個代碼安全場景,提供超過30種惡意代碼檢測能力,不僅在內部爲11萬軟件工程師日常所用,更實現外溢,服務超過1萬家企業325萬開發者。

值得關注的是,欄目與會嘉賓還談到人工智能的迅猛發展,尤其是大模型的應用,既爲軟件行業帶來新的挑戰,也推動了軟件開發流程的優化與創新。汪維敏介紹華爲雲發佈的CodeArts Snap智能開發助手,在華爲雲研發大模型的支持下,可實現一句對話生成代碼、一次點擊自動註釋和生成測試用例,爲開發者提供更高效、更智能的開發體驗,提升20%的研發效率,近期已正式開啓公測。

最後,沈昌祥院士表達了對軟件產業的建議與期許:第一,要樹立軟件機理安全可信生態觀;要自主創新、自立自強,創建軟件產品安全可信雙體系架構;第三,打造主動免疫安全可信的軟件工程產業空間,“安全可信是一個新問題,我們要在理念上創新、在覈心體系結構上創新,也要在工程實踐上不斷創新。”