《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 綠盟科技發(fā)布白皮書:理清企業(yè)供應(yīng)鏈依賴關(guān)系,是確保軟件供應(yīng)鏈安全的關(guān)鍵

綠盟科技發(fā)布白皮書:理清企業(yè)供應(yīng)鏈依賴關(guān)系,是確保軟件供應(yīng)鏈安全的關(guān)鍵

2022-07-19
來源:綠盟科技

  7月18日, 由綠盟科技承辦的“2022中國網(wǎng)絡(luò)空間新興技術(shù)安全創(chuàng)新論壇-云安全分論壇”在深圳召開。會(huì)上,綠盟科技發(fā)布《軟件供應(yīng)鏈安全技術(shù)白皮書》(以下簡稱“白皮書”),對推動(dòng)國內(nèi)軟件供應(yīng)鏈生態(tài)建設(shè)具有重要意義。

3.png

  信息和通信技術(shù)(ICT)產(chǎn)業(yè)鏈承擔(dān)著我國產(chǎn)業(yè)從工業(yè)化向數(shù)字化轉(zhuǎn)型升級(jí)的重要任務(wù),軟件供應(yīng)鏈作為ICT供應(yīng)鏈的重要組成部分,是各類關(guān)鍵信息基礎(chǔ)設(shè)施平穩(wěn)運(yùn)行的基礎(chǔ),其關(guān)鍵組件的設(shè)計(jì)、開發(fā)、部署、監(jiān)控和持續(xù)運(yùn)營等生命周期核心環(huán)節(jié)的安全可控,成為網(wǎng)絡(luò)安全的關(guān)鍵考量因素。

  在此次大會(huì)上,綠盟科技集團(tuán)天元實(shí)驗(yàn)室高級(jí)研究員陳靜發(fā)表演講,她表示從近幾年的軟件供應(yīng)鏈攻擊事件來看,利用開源社區(qū)、公共開源存儲(chǔ)倉庫等開源軟件生態(tài)入侵事件較為嚴(yán)重。因此需要從監(jiān)管層面加強(qiáng)供應(yīng)鏈產(chǎn)品安全認(rèn)證管理,提供企業(yè)軟件SBOM托管和可信認(rèn)證服務(wù),企業(yè)也需要完善供應(yīng)鏈資產(chǎn)管理和安全檢查,借助SBOM知識(shí)圖譜理清企業(yè)供應(yīng)鏈依賴關(guān)系,從而在監(jiān)測到預(yù)警時(shí)能夠從容應(yīng)對。

  同時(shí),為應(yīng)對軟件供應(yīng)鏈威脅,上游企業(yè)需要構(gòu)建自身產(chǎn)品的軟件成分清單來梳理軟件供應(yīng)鏈信息,向下游企業(yè)和用戶清晰、透明的提供管理軟件供應(yīng)鏈所需要的基礎(chǔ)條件。軟件成分清單依據(jù)識(shí)別成分的粒度,可以分為不透明、微透明、半透明和透明幾個(gè)階段。透明程度高的軟件成分清單,能顯著提升最終用戶進(jìn)行軟件供應(yīng)鏈安全評(píng)估的準(zhǔn)確性。

微信截圖_20220719112132.png


  綠盟科技集團(tuán)天元實(shí)驗(yàn)室高級(jí)研究員陳靜

  此外,陳靜對企業(yè)供應(yīng)鏈上下游關(guān)系做了進(jìn)一步闡述,她表示,在軟件開發(fā)生命周期中,開發(fā)階段漏洞的引入不止在代碼編寫階段,還有所依賴的開源組件、開發(fā)和構(gòu)建工具等,依照軟件的開發(fā)和構(gòu)建過程,企業(yè)需要建設(shè)開發(fā)過程安全評(píng)估能力。在軟件交付階段,作為供應(yīng)商,除保證交付軟件安全外,也應(yīng)將軟件成分清單一并交付給下游企業(yè),促使整個(gè)軟件供應(yīng)鏈的上下游都具備依據(jù)安全通報(bào)、威脅情報(bào)監(jiān)控等第三方信息能夠分析、評(píng)估軟件供應(yīng)鏈安全的基本條件。供應(yīng)鏈軟件產(chǎn)品交付運(yùn)行后,供應(yīng)商應(yīng)在產(chǎn)品的生命周期內(nèi)提供安全保障服務(wù),對產(chǎn)品漏洞及時(shí)修復(fù),最終用戶也應(yīng)根據(jù)供應(yīng)商所提供的軟件成分清單納入企業(yè)資產(chǎn)管理范圍,定期對資產(chǎn)進(jìn)行安全評(píng)估,結(jié)合漏洞預(yù)警,對受影響的產(chǎn)品進(jìn)行加固和修復(fù)。

  在技術(shù)不斷迭代與產(chǎn)業(yè)高速發(fā)展中,軟件供應(yīng)鏈逐漸形成了包含技術(shù)體系、多元產(chǎn)品組件及各路開發(fā)者、供應(yīng)者與消費(fèi)者為一體的龐大產(chǎn)業(yè)生態(tài),軟件供應(yīng)鏈安全將直接影響關(guān)鍵基礎(chǔ)設(shè)施和數(shù)字經(jīng)濟(jì)安全。作為中國可信安全生態(tài)建設(shè)的積極參與者,綠盟科技推出軟件供應(yīng)鏈技術(shù)安全白皮書,旨在從軟件供應(yīng)鏈安全威脅與國內(nèi)外形勢來梳理軟件供應(yīng)鏈中存在的安全問題,提煉出軟件供應(yīng)鏈安全治理的核心理念、技術(shù)框架、關(guān)鍵技術(shù),并從供應(yīng)鏈安全監(jiān)管和控制方面給出解決方案和最佳實(shí)踐,期望為讀者帶來全新的技術(shù)思考,助力我國軟件產(chǎn)業(yè)發(fā)展。

  在未來,綠盟科技將不忘初心,堅(jiān)持以技術(shù)推動(dòng)產(chǎn)業(yè),主動(dòng)履行社會(huì)責(zé)任。相信隨著軟件供應(yīng)鏈安全的穩(wěn)步發(fā)展,我國軟件供應(yīng)鏈安全技術(shù)應(yīng)用生態(tài)與數(shù)字建設(shè)將迎來新的高度。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。