《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 懸鏡安全攜手中國(guó)信通院發(fā)布《軟件供應(yīng)鏈安全白皮書(shū)(2021)》

懸鏡安全攜手中國(guó)信通院發(fā)布《軟件供應(yīng)鏈安全白皮書(shū)(2021)》

2021-08-05
來(lái)源:嘶吼專(zhuān)業(yè)版
關(guān)鍵詞: 懸鏡安全 供應(yīng)鏈 安全

  引言

  《軟件供應(yīng)鏈安全白皮書(shū)(2021)》著重分析了軟件供應(yīng)鏈安全,,梳理了軟件供應(yīng)鏈的安全現(xiàn)狀,,透過(guò)現(xiàn)狀全面剖析軟件供應(yīng)鏈的安全風(fēng)險(xiǎn)及面臨的安全挑戰(zhàn),有針對(duì)性的提出如何對(duì)軟件供應(yīng)鏈的安全風(fēng)險(xiǎn)進(jìn)行防范與治理,,系統(tǒng)闡述了軟件供應(yīng)鏈安全的防護(hù)體系及軟件供應(yīng)鏈安全的應(yīng)用實(shí)踐以供參考,。

  正文

  2021年7月21日,中國(guó)首屆DevSecOps敏捷安全大會(huì)(DSO 2021)在北京成功舉辦,,由中國(guó)信通院與懸鏡安全聯(lián)合編撰的《軟件供應(yīng)鏈安全白皮書(shū)(2021)》(以下簡(jiǎn)稱(chēng)“白皮書(shū)”)于會(huì)議現(xiàn)場(chǎng)發(fā)布,,中國(guó)信通院云大所副所長(zhǎng)栗蔚與懸鏡安全創(chuàng)始人兼CEO子芽共同啟動(dòng)白皮書(shū)發(fā)布儀式。

  圖:《軟件供應(yīng)鏈安全白皮書(shū)(2021)》發(fā)布

  懸鏡安全創(chuàng)始人兼CEO子芽針對(duì)當(dāng)前發(fā)展趨勢(shì),,就如何開(kāi)展全方位的軟件供應(yīng)鏈安全檢測(cè)防御方法和技術(shù)研究提出四點(diǎn)建議:

  第一,,開(kāi)展軟件成分動(dòng)態(tài)分析及開(kāi)源應(yīng)用缺陷智能檢測(cè)技術(shù)研究,突破高效高準(zhǔn)確性的開(kāi)源應(yīng)用安全缺陷動(dòng)態(tài)檢測(cè)技術(shù)的瓶頸,,解決基于全代碼遍歷和代碼片段級(jí)克隆技術(shù)比對(duì)的應(yīng)用安全檢測(cè)難題,,進(jìn)一步實(shí)現(xiàn)對(duì)全球開(kāi)源應(yīng)用的全面安全檢測(cè),從源頭堵住軟件供應(yīng)鏈安全隱患。

  第二,, 建立全球開(kāi)源應(yīng)用的傳播態(tài)勢(shì)感知和預(yù)警機(jī)制,,攻克軟件供應(yīng)鏈中軟件來(lái)源多態(tài)追蹤技術(shù),實(shí)現(xiàn)對(duì)供應(yīng)鏈各環(huán)節(jié)中軟件來(lái)源的溯源機(jī)制,。通過(guò)軟件來(lái)源多態(tài)追蹤技術(shù)監(jiān)控開(kāi)源應(yīng)用的使用傳播和分布部署態(tài)勢(shì),,全面把握有缺陷的開(kāi)源應(yīng)用傳播和使用渠道,實(shí)現(xiàn)對(duì)全球開(kāi)源應(yīng)用及其安全缺陷的預(yù)測(cè)預(yù)警,。

  第三,,建立國(guó)家級(jí)/行業(yè)級(jí)軟件供應(yīng)鏈安全監(jiān)測(cè)與管控平臺(tái),具備系統(tǒng)化,、規(guī)?;能浖创a缺陷和異常行為代碼分析、軟件漏洞分析,、開(kāi)源軟件成分及風(fēng)險(xiǎn)分析等關(guān)鍵能力,,為關(guān)鍵基礎(chǔ)設(shè)施、重要信息系統(tǒng)用戶(hù)提供日常的自查服務(wù),,及時(shí)發(fā)現(xiàn)和處置軟件供應(yīng)鏈安全風(fēng)險(xiǎn),。

  第四,嚴(yán)格管控軟件供應(yīng)鏈上游,,尤其重點(diǎn)管控開(kāi)源應(yīng)用的使用,,積極推動(dòng)區(qū)塊鏈等新技術(shù)在軟件供應(yīng)鏈安全領(lǐng)域的推廣和應(yīng)用,利用區(qū)塊鏈的安全可信機(jī)制,,從根本上提供軟件供應(yīng)鏈安全的可靠保障,。

  圖:《軟件供應(yīng)鏈安全白皮書(shū)(2021)》目錄

  軟件供應(yīng)鏈風(fēng)險(xiǎn)分析

  在此部分內(nèi)容中,白皮書(shū)基于國(guó)內(nèi)軟件供應(yīng)鏈風(fēng)險(xiǎn)現(xiàn)狀,,對(duì)導(dǎo)致安全風(fēng)險(xiǎn)的主要因素進(jìn)行歸類(lèi)整理,,逐一講解了軟件生命周期中四個(gè)主要階段的安全風(fēng)險(xiǎn)。原創(chuàng)性地根據(jù)漏洞來(lái)源和漏洞狀態(tài)兩大類(lèi)別,,對(duì)當(dāng)前存在的軟件供應(yīng)鏈漏洞進(jìn)行分析,。此外,本章節(jié)還匯總了軟件供應(yīng)鏈的五種攻擊類(lèi)型,,分別列舉了近年來(lái)發(fā)生的典型軟件供應(yīng)鏈安全事件并進(jìn)行分析,。

圖:軟件供應(yīng)鏈漏洞類(lèi)型

  軟件供應(yīng)鏈安全治理方法

  目前,業(yè)界已充分認(rèn)識(shí)到造成網(wǎng)絡(luò)安全事件的主要原因之一是由于軟件開(kāi)發(fā)者在開(kāi)發(fā)過(guò)程中對(duì)開(kāi)發(fā)工具,、 開(kāi)發(fā)團(tuán)隊(duì),、開(kāi)發(fā)生命周期和軟件產(chǎn)品自身管理不當(dāng),致使軟件存在著安全缺陷,,破壞或影響最終用戶(hù)的信息安全,。白皮書(shū)分別從體系構(gòu)建,、設(shè)計(jì)、編碼和發(fā)布運(yùn)營(yíng)四個(gè)階段進(jìn)行分析,。首次公開(kāi)了在軟件生命周期的設(shè)計(jì)階段,,軟件供應(yīng)商風(fēng)險(xiǎn)管理流程與評(píng)估模型,同時(shí)重點(diǎn)強(qiáng)調(diào)了在編碼階段SBOM(軟件物料清單)對(duì)缺陷管理的重要作用,。

  圖:軟件供應(yīng)商評(píng)估模型

  結(jié)語(yǔ)

  作為白皮書(shū)的出品人,,子芽對(duì)軟件供應(yīng)鏈安全發(fā)展做出展望:“軟件隨著AI和自動(dòng)化惡意攻擊技術(shù)不斷升級(jí),專(zhuān)門(mén)針對(duì)軟件供應(yīng)鏈的攻擊趨勢(shì)明顯加強(qiáng),,軟件供應(yīng)鏈已經(jīng)成為網(wǎng)絡(luò)空間攻防對(duì)抗的焦點(diǎn),,直接影響關(guān)鍵基礎(chǔ)設(shè)施和數(shù)字經(jīng)濟(jì)安全,,這也是為何中國(guó)第一屆”DevSecOps 敏捷安全大會(huì)“(DSO 2021)的主題被定為”安全從供應(yīng)鏈開(kāi)始“的主要原因,。此外,如何從技術(shù)創(chuàng)新的角度,,為產(chǎn)業(yè)搭建一個(gè)匯集”國(guó)家,、行業(yè)、機(jī)構(gòu),、企業(yè)“等綜合力量且”同向,、同心“的軟件供應(yīng)鏈安全保障生態(tài)體系變得愈發(fā)重要?!?/p>




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話(huà)通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話(huà):010-82306118,;郵箱:aet@chinaaet.com。