ISC 2022互聯(lián)網(wǎng)安全大會(huì)軟件供應(yīng)鏈安全治理與運(yùn)營(yíng)論壇在ISC元宇宙N世界中舉辦。作為本場(chǎng)分論壇的出品人，懸鏡安全與大會(huì)主辦方一同邀請(qǐng)來(lái)了多位軟件供應(yīng)鏈安全領(lǐng)域的安全專家、業(yè)界領(lǐng)袖、企業(yè)代表和技術(shù)精英，就各行業(yè)對(duì)軟件供應(yīng)鏈安全治理與運(yùn)營(yíng)理念的創(chuàng)新實(shí)踐進(jìn)行分享與探討。

　　近年來(lái)，隨著企業(yè)數(shù)字化轉(zhuǎn)型進(jìn)程的加快，軟件正成為社會(huì)運(yùn)轉(zhuǎn)的基本組件。但是開(kāi)源主導(dǎo)的開(kāi)發(fā)方式以及云原生的普及，使得軟件供應(yīng)鏈安全愈演愈烈，威脅著全球各行各業(yè)的用戶。

　　圍繞軟件供應(yīng)鏈安全相關(guān)話題，在論壇最后的圓桌環(huán)節(jié)，安全419創(chuàng)始人張毅作為圓桌主持人，與來(lái)自信創(chuàng)、金融、云計(jì)算等領(lǐng)域的多家龍頭企業(yè)技術(shù)負(fù)責(zé)人展開(kāi)了圓桌對(duì)話，邀請(qǐng)各位嘉賓分享了自身軟件供應(yīng)鏈安全建設(shè)實(shí)踐經(jīng)驗(yàn)，并深入探討了軟件供應(yīng)鏈安全發(fā)展的新模式和新未來(lái)。

　　企業(yè)應(yīng)如何落地軟件供應(yīng)鏈安全治理

　　和運(yùn)營(yíng)策略？

　　近兩年來(lái)不斷爆發(fā)的SolarWinds和Log4j2等軟件供應(yīng)鏈安全事件為全球各行業(yè)帶來(lái)了強(qiáng)烈沖擊，軟件供應(yīng)鏈安全也一舉成為了全球焦點(diǎn)。企業(yè)界如何看待這一系列軟件供應(yīng)鏈安全事件所造成的影響？又從這些事件中得到了哪些啟示？企業(yè)在軟件供應(yīng)鏈安全方面究竟面臨哪些核心痛點(diǎn)？又應(yīng)該軟件供應(yīng)鏈安全治理策略落地？主持人張毅就這一系列問(wèn)題與各位嘉賓進(jìn)行了交流。

　　東方通集團(tuán)副總裁兼北京東方通軟件有限公司副總經(jīng)理朱木林分享到，log4j2在軟件界被視為一次核爆事件，開(kāi)源軟件的安全性已經(jīng)成為了一個(gè)全球性話題，業(yè)內(nèi)統(tǒng)計(jì)，自開(kāi)源軟件誕生后，有98%的企業(yè)都在應(yīng)用中引用了開(kāi)源代碼和開(kāi)源組件。但事實(shí)上，軟件開(kāi)發(fā)是無(wú)法離開(kāi)開(kāi)源軟件的，隨著數(shù)字化應(yīng)用的蓬勃發(fā)展，開(kāi)發(fā)人員的編碼方式也隨之改變，繼續(xù)重復(fù)造輪子寫基礎(chǔ)函數(shù)和代碼早已經(jīng)成為了過(guò)去。因此他認(rèn)為，一味回避開(kāi)源軟件并不可取，軟件供應(yīng)鏈安全治理仍然應(yīng)該聚焦在加強(qiáng)對(duì)流程、質(zhì)量的把控方面。

　　平安壹錢包安全DevSecOps運(yùn)營(yíng)負(fù)責(zé)人汪永輝認(rèn)為，當(dāng)前行業(yè)所面臨的軟件供應(yīng)鏈安全的核心痛點(diǎn)仍然是研發(fā)人員安全意識(shí)薄弱，沒(méi)有真正認(rèn)識(shí)到軟件供應(yīng)鏈安全的重要性。他談到，此前研發(fā)人員通常會(huì)認(rèn)為引入的開(kāi)源組件并不是自己編寫的，其安全風(fēng)險(xiǎn)和責(zé)任與己無(wú)關(guān)。但在一系列安全事件爆發(fā)后，業(yè)內(nèi)對(duì)軟件供應(yīng)鏈安全性才真正引起了重視。

　　汪永輝同時(shí)也分享了自身企業(yè)的相關(guān)實(shí)踐，他介紹，平安壹錢包將近百個(gè)開(kāi)源組件進(jìn)行了安全分類分級(jí)管理，并對(duì)漏洞、許可證等開(kāi)源安全風(fēng)險(xiǎn)進(jìn)行了常態(tài)化治理，通過(guò)引入第三方商業(yè)工具識(shí)別可能存在的安全隱患，將相關(guān)隱患推送到相關(guān)研發(fā)部門，推動(dòng)研發(fā)人員對(duì)存量漏洞和新增相關(guān)風(fēng)險(xiǎn)進(jìn)行修復(fù)，最終從業(yè)務(wù)層面加入考核機(jī)制，最終倒逼安全水平得到有效提升。

　　圍繞相關(guān)實(shí)踐落地經(jīng)驗(yàn)，中興通訊開(kāi)源合規(guī)兼安全治理總監(jiān)項(xiàng)曙明也就這一話題進(jìn)行了分享，他表示，除了加強(qiáng)研發(fā)人員安全意識(shí)教育外，中興通訊在高效產(chǎn)品研發(fā)的流程基礎(chǔ)上，把原來(lái)流程中的安全相關(guān)的短板進(jìn)行了補(bǔ)齊，將開(kāi)源軟件應(yīng)用規(guī)范性相關(guān)要求進(jìn)行了完善。在引入開(kāi)源軟件前，中興通訊將第三方開(kāi)源軟件全生命周期管理的相關(guān)要求補(bǔ)充到了IT管理的流程中，建立了一個(gè)獨(dú)立的庫(kù)將相關(guān)開(kāi)源軟件納入了管控中，通過(guò)多種方式管控開(kāi)源軟件風(fēng)險(xiǎn)的引入。在開(kāi)源軟件正式引入后，中興通訊也在從工程能力方面著手管控風(fēng)險(xiǎn)，目前正在嘗試通過(guò)SASE方案來(lái)持續(xù)推動(dòng)可信開(kāi)源軟件管控的建設(shè)。

　　DevSecOps和軟件供應(yīng)鏈安全

　　會(huì)是下一個(gè)安全風(fēng)口嗎？

　　隨著數(shù)字化轉(zhuǎn)型加速，進(jìn)入云原生時(shí)代，未來(lái)DevSecOps和軟件供應(yīng)鏈安全會(huì)如何發(fā)展？在圓桌研討最后，主持人張毅邀請(qǐng)各位專家就軟件供應(yīng)鏈安全未來(lái)發(fā)展趨勢(shì)分享了自身的觀點(diǎn)和思考。

　　博云科技副總經(jīng)理、董事靳亮認(rèn)為，當(dāng)前企業(yè)的科技部門的IT團(tuán)隊(duì)自身正在面臨著云原生和數(shù)字化轉(zhuǎn)型的需求，在這個(gè)過(guò)程中安全是不可或缺的一環(huán)，而DevSecOps從DevOps誕生之時(shí)就是伴生的，因此DevSecOps未來(lái)的蓬勃發(fā)展將是必然趨勢(shì)。

　　用友集團(tuán)網(wǎng)絡(luò)安全部總經(jīng)理李強(qiáng)認(rèn)同了靳亮的觀點(diǎn)，他表示，正如DevSecOps和DevOps的起承關(guān)系一樣，供應(yīng)鏈安全問(wèn)題自從軟件誕生的那一刻起就始終存在，受到當(dāng)前日益嚴(yán)峻的安全形勢(shì)的影響，國(guó)家才逐漸把供應(yīng)鏈安全提到了一個(gè)全新的高度。事實(shí)上除了開(kāi)源軟件之外，包括其他任何引入的第三方軟件、接入的合作伙伴系統(tǒng)都是供應(yīng)鏈安全管理的構(gòu)成部分。因此供應(yīng)鏈安全的范疇囊括了包括軟件廠商和安全廠商，所有人都會(huì)面臨著巨大的轉(zhuǎn)型和發(fā)展機(jī)會(huì)。

　　項(xiàng)曙明認(rèn)為，當(dāng)前技術(shù)的發(fā)展日新月異，尤其是在云原生時(shí)代下，打造供應(yīng)鏈級(jí)的軟件產(chǎn)品已經(jīng)成為了企業(yè)生存和發(fā)展的必然條件，只有擁抱開(kāi)源、擁抱軟件供應(yīng)鏈的管控才能在數(shù)字化浪潮中迎來(lái)發(fā)展機(jī)遇。

　　朱木林最后談到，隨著軟件開(kāi)發(fā)安全受重視程度的不斷提高，當(dāng)下無(wú)論是何種應(yīng)用場(chǎng)景下的軟件生產(chǎn)企業(yè)，都已經(jīng)開(kāi)始嘗試融入供應(yīng)鏈管控的措施或者商業(yè)工具對(duì)風(fēng)險(xiǎn)加以治理。在軟件真正在客戶業(yè)務(wù)中上線前，無(wú)論是傳統(tǒng)架構(gòu)還是云原生架構(gòu)下，軟件從底層到應(yīng)用層都會(huì)介入安全措施，這意味著當(dāng)前做軟件供應(yīng)鏈安全治理已經(jīng)在軟件行業(yè)內(nèi)形成了共識(shí)。

　　因此他認(rèn)為，嚴(yán)峻的安全對(duì)抗形勢(shì)必然會(huì)刺激整體行業(yè)的發(fā)展，網(wǎng)絡(luò)安全自身的特性決定了它是一個(gè)不斷迭代的螺旋式上升的過(guò)程?？梢灶A(yù)測(cè)的是，未來(lái)將有一大批技術(shù)創(chuàng)新型的安全企業(yè)從中脫穎而出，同時(shí)也將會(huì)有一些優(yōu)秀安全從業(yè)者登上時(shí)代舞臺(tái)，DevSecOps和軟件供應(yīng)鏈安全必將乘風(fēng)而起。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<