0
| 本文作者: 李揚霞 | 2022-07-18 19:49 |
雷峰網(wǎng)(公眾號:雷峰網(wǎng))消息:7月18日,在“2022中國網(wǎng)絡空間新興技術(shù)安全創(chuàng)新論壇-云安全分論壇”召開,綠盟科技正式發(fā)布《軟件供應鏈安全技術(shù)白皮書》。
白皮書指出,信息和通信技術(shù)(ICT)產(chǎn)業(yè)鏈承擔著我國產(chǎn)業(yè)從工業(yè)化向數(shù)字化轉(zhuǎn)型升級的重要任務,軟件供應鏈作為ICT供應鏈的重要組成部分,是各類關(guān)鍵信息基礎(chǔ)設施平穩(wěn)運行的基礎(chǔ),其關(guān)鍵組件的設計、開發(fā)、部署、監(jiān)控和持續(xù)運營等生命周期核心環(huán)節(jié)的安全可控,成為網(wǎng)絡安全的關(guān)鍵考量因素。
在此次大會上,綠盟科技集團天元實驗室高級研究員陳靜發(fā)表演講,她表示從近幾年的軟件供應鏈攻擊事件來看,利用開源社區(qū)、公共開源存儲倉庫等開源軟件生態(tài)入侵事件較為嚴重。因此需要從監(jiān)管層面加強供應鏈產(chǎn)品安全認證管理,提供企業(yè)軟件SBOM托管和可信認證服務,企業(yè)也需要完善供應鏈資產(chǎn)管理和安全檢查,借助SBOM知識圖譜理清企業(yè)供應鏈依賴關(guān)系,從而在監(jiān)測到預警時能夠從容應對。
同時,為應對軟件供應鏈威脅,上游企業(yè)需要構(gòu)建自身產(chǎn)品的軟件成分清單來梳理軟件供應鏈信息,向下游企業(yè)和用戶清晰、透明的提供管理軟件供應鏈所需要的基礎(chǔ)條件。軟件成分清單依據(jù)識別成分的粒度,可以分為不透明、微透明、半透明和透明幾個階段。透明程度高的軟件成分清單,能顯著提升最終用戶進行軟件供應鏈安全評估的準確性。
此外,綠盟科技集團天元實驗室高級研究員陳靜對企業(yè)供應鏈上下游關(guān)系做了進一步闡述,她表示,在軟件開發(fā)生命周期中,開發(fā)階段漏洞的引入不止在代碼編寫階段,還有所依賴的開源組件、開發(fā)和構(gòu)建工具等,依照軟件的開發(fā)和構(gòu)建過程,企業(yè)需要建設開發(fā)過程安全評估能力。在軟件交付階段,作為供應商,除保證交付軟件安全外,也應將軟件成分清單一并交付給下游企業(yè),促使整個軟件供應鏈的上下游都具備依據(jù)安全通報、威脅情報監(jiān)控等第三方信息能夠分析、評估軟件供應鏈安全的基本條件。供應鏈軟件產(chǎn)品交付運行后,供應商應在產(chǎn)品的生命周期內(nèi)提供安全保障服務,對產(chǎn)品漏洞及時修復,最終用戶也應根據(jù)供應商所提供的軟件成分清單納入企業(yè)資產(chǎn)管理范圍,定期對資產(chǎn)進行安全評估,結(jié)合漏洞預警,對受影響的產(chǎn)品進行加固和修復。
在技術(shù)不斷迭代與產(chǎn)業(yè)高速發(fā)展中,軟件供應鏈逐漸形成了包含技術(shù)體系、多元產(chǎn)品組件及各路開發(fā)者、供應者與消費者為一體的龐大產(chǎn)業(yè)生態(tài),軟件供應鏈安全將直接影響關(guān)鍵基礎(chǔ)設施和數(shù)字經(jīng)濟安全。作為中國可信安全生態(tài)建設的積極參與者,綠盟科技推出軟件供應鏈技術(shù)安全白皮書,旨在從軟件供應鏈安全威脅與國內(nèi)外形勢來梳理軟件供應鏈中存在的安全問題,提煉出軟件供應鏈安全治理的核心理念、技術(shù)框架、關(guān)鍵技術(shù),并從供應鏈安全監(jiān)管和控制方面給出解決方案和最佳實踐,期望為讀者帶來全新的技術(shù)思考,助力我國軟件產(chǎn)業(yè)發(fā)展。
雷峰網(wǎng)版權(quán)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
