□本报记者 阴祖峰
　　“IT供应链环节复杂、暴露面多，上游环节被攻击者利用会引发雪崩效应，造成不可估量的影响。近几年，网络攻击者通过入侵软硬件产品供应商，实现对下游政企应用场景的连锁突破，已经成为常态化攻击方式。”今年两会，全国政协委员，安天董事长、首席架构师肖新光精心撰写了关于加强IT供应链网络安全能力建设的提案。
　　经过长期深入调研，肖新光发现，IT供应链网络安全能力正面临着软件研发场景防护能力普遍薄弱、普遍缺少全生命周期的代码安全工程能力、政企用户侧供应链管理工作缺失网络安全维度的挑战。肖新光分析说：一是在设计、开发、编译、测试、签名、分发等场景缺少针对性防护措施，导致相关环境和流程被攻击者入侵，带来系列严重风险；二是普遍缺少全生命周期的代码安全工程能力，软件安全性较差，易于出现严重安全漏洞；三是对供应链管理的认识停留在资产台账和基础运维的层面，缺少对上游供应链网络安全视角的统一工作机制和流程规范。
　　“建议相关部门设立专项，研究推动软硬件研发场景安全防护工作。”肖新光认为，应制定对应标准规范体系，覆盖开发环境、生产环境安全防护、软件强制签名要求与签发环境安全要求、软件分发升级环境安全规范等。“通过建立试点示范项目、安全投入加计扣除等机制，引导基础软硬件、共性软件、政企场景工具软件等相关研发企业机构，重视网络安全工作，加大安全防护力度。”
　　“建议相关部门出台支持软件研发企业全面启动代码安全工程的专项政策和引导措施。”肖新光说，应跟进技术发展趋势，“设立专项支持安全引擎等安全中间件开发，鼓励研发企业与安全企业强强联合，可参考智能手机行业成功实践，通过产品嵌入安全中间件等方式，实现IT产品安全防护能力的出厂预置。”