2月16日����,在首屆ICT軟件供應(yīng)鏈安全治理論壇上��,奇安信集團(tuán)總裁吳云坤表示���,軟件供應(yīng)鏈系統(tǒng)生命周期的各個(gè)環(huán)節(jié)都可能存在供應(yīng)鏈安全風(fēng)險(xiǎn),需要用系統(tǒng)工程方法體系化���、全局性治理��。
供應(yīng)鏈安全體系化管理需重視四大關(guān)鍵點(diǎn)
國際對(duì)抗升級(jí)疊加數(shù)字化轉(zhuǎn)型�����,供應(yīng)鏈安全成重要挑戰(zhàn)���。一方面,軟件供應(yīng)鏈風(fēng)險(xiǎn)存在于應(yīng)用系統(tǒng)的全生命周期,已成為網(wǎng)絡(luò)攻擊的主要目標(biāo)����;另一方面,近年來的軟件供應(yīng)鏈安全事件頻發(fā)����,波及范圍和影響程度也越來越大。對(duì)此��,吳云坤指出���,軟件供應(yīng)鏈安全需要用系統(tǒng)工程方法體系化�、全局性治理����,從組織、流程制度����、場(chǎng)景、能力四個(gè)層面出發(fā)�,抓好四個(gè)關(guān)鍵點(diǎn)。
(資料圖片)
一是明確軟件供應(yīng)鏈安全管理控制點(diǎn)����,針對(duì)軟件供應(yīng)鏈全生命周期的安全風(fēng)險(xiǎn)����,在不同階段做好不同階段的安全設(shè)計(jì)�、建設(shè)和運(yùn)行管理,確保安全覆蓋軟件全生命周期�;二是完善軟件供應(yīng)鏈安全管理的組織建設(shè),這是軟件供應(yīng)鏈安全成功的保障��,需要全員參與���、分工明確��、責(zé)任到位;三是健全軟件供應(yīng)鏈安全管理工作內(nèi)容與制度建設(shè)��,要將技術(shù)方案與管理辦法深度結(jié)合��;四是做好軟件供應(yīng)鏈安全能力的設(shè)計(jì)�����。
軟件供應(yīng)鏈安全全生命周期的四項(xiàng)關(guān)鍵能力
在技術(shù)方面���,吳云坤表示�����,軟件供應(yīng)鏈安全的技術(shù)能力建設(shè)必須涵蓋開發(fā)生產(chǎn)��、集成交付�、使用運(yùn)行各階段,并指出了四項(xiàng)關(guān)鍵能力���。
首先���,建設(shè)開發(fā)安全能力?�?赏ㄟ^奇安信代碼衛(wèi)士等第三方代碼安全解決方案��,幫助企業(yè)以最小代價(jià)建立代碼安全保障體系并落地實(shí)施�����。
其次����,建設(shè)開源安全能力��?�?山柚姘残砰_源衛(wèi)士等專業(yè)系統(tǒng)�����,實(shí)現(xiàn)開源軟件資產(chǎn)識(shí)別��、開源軟件安全風(fēng)險(xiǎn)分析���、開源軟件漏洞告警及開源軟件安全管理等功能,降低由開源軟件帶來的安全風(fēng)險(xiǎn)�����,保障企業(yè)交付更安全的軟件��。
第三��,建設(shè)安全部署�����、運(yùn)行能力�。奇安信天問系統(tǒng)就是專門面向軟件供應(yīng)鏈安全領(lǐng)域的分析平臺(tái),可為高危漏洞影響范圍評(píng)估��、終端軟件安全管控�、后門植入事件主動(dòng)發(fā)現(xiàn)、信創(chuàng)軟件安全性測(cè)評(píng)等一系列軟件供應(yīng)鏈安全分析相關(guān)工作提供支撐��。
第四�,建設(shè)自動(dòng)化滲透測(cè)試能力,持續(xù)探測(cè)生產(chǎn)環(huán)境�、開發(fā)環(huán)境的信息安全漏洞。
在北京冬奧會(huì)網(wǎng)絡(luò)安全服務(wù)中���,奇安信就通過建立自動(dòng)化安全檢測(cè)機(jī)制����,覆蓋跨站腳本�、代碼注入、API誤用���、密碼管理��、配置管理�、危險(xiǎn)函數(shù)�、異常處理���、資源管理、代碼質(zhì)量���、緩沖溢出等對(duì)冬奧業(yè)務(wù)威脅較大的代碼問題����,對(duì)冬奧業(yè)務(wù)系統(tǒng)的代碼安全性檢測(cè)��,發(fā)現(xiàn)問題及時(shí)處置���,從而確保了北京冬奧會(huì)“業(yè)務(wù)不中斷�����、數(shù)據(jù)不出事����、合規(guī)不踩線”的零事故運(yùn)行��。
深耕軟件供應(yīng)鏈安全 奇安信獲多項(xiàng)榮譽(yù)
科技自立自強(qiáng)�����,需要強(qiáng)健的軟件供應(yīng)鏈安全做保障�����。吳云坤介紹���,目前�����,由重慶市委網(wǎng)信辦領(lǐng)導(dǎo)�����,由璧山區(qū)政府和奇安信集團(tuán)共同建設(shè)的全國首個(gè)軟件供應(yīng)鏈安全檢測(cè)中心已落地重慶���,面向機(jī)構(gòu)和企業(yè)從源代碼層面評(píng)估軟件自身安全風(fēng)險(xiǎn),并提供代碼安全整改建議��,最大化降低軟件供應(yīng)鏈上游環(huán)節(jié)問題給整個(gè)數(shù)字化業(yè)務(wù)帶來的風(fēng)險(xiǎn)���。
憑借多年的技術(shù)積累和產(chǎn)品創(chuàng)新�����,奇安信軟件供應(yīng)鏈的產(chǎn)品和服務(wù)能力獲得了行業(yè)的充分肯定�����。在頒獎(jiǎng)環(huán)節(jié)����,奇安信獲得多項(xiàng)榮譽(yù):奇安信集團(tuán)獲“信息通信軟件供應(yīng)鏈安全社區(qū)優(yōu)秀會(huì)員單位”榮譽(yù),奇安信“基于軟件成分分析的開源軟件安全治理平臺(tái)”獲自主創(chuàng)新研發(fā)成果獎(jiǎng)����,奇安信發(fā)布的《2022中國軟件供應(yīng)鏈安全分析報(bào)告》獲“科學(xué)研究文獻(xiàn)成果獎(jiǎng)”,奇安信安全專家童小剛�、董國偉、蘇砫三人獲“社區(qū)年度優(yōu)秀專家”榮譽(yù)���。
據(jù)悉��,信息通信軟件供應(yīng)鏈安全社區(qū)是在工業(yè)和信息化部網(wǎng)絡(luò)安全管理局指導(dǎo)下���,由中國信息通信研究院、中國電信集團(tuán)有限公司��、中國移動(dòng)通信集團(tuán)有限公司、中國聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司��、中國鐵塔股份有限公司���、奇安信科技集團(tuán)股份有限公司共同發(fā)起籌建,致力于軟件供給過程的安全生態(tài)建設(shè)����,為產(chǎn)業(yè)鏈、供應(yīng)鏈各相關(guān)方等提供研討�����、研發(fā)�、協(xié)作、共治的平臺(tái)��。(圖片由奇安信授權(quán)中國網(wǎng)財(cái)經(jīng)使用)
關(guān)鍵詞:
生命周期
軟件安全
安全管理
信息通信
