“网安三人行”盘点:软件供应链安全的那些事儿

这篇具有很好参考价值的文章主要介绍了“网安三人行”盘点:软件供应链安全的那些事儿。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

2022年伊始,默安科技联合数世咨询举办以“软件供应链安全的时与势”为主题的访谈活动,由数世咨询创始人李少鹏主持,邀请贝壳安全研发负责人李文鹏、北京邮电大学副教授张文博、默安科技副总裁沈锡镛三位行业大咖做客网安小酒馆,从产业、企业、学术的不同维度,共同探讨软件供应链安全建设的新思路,为业界呈现了一场开年网安盛宴。

随着全球软件供应链安全事件频发,软件供应链安全逐渐成为业界关注焦点,也成为影响国家重要信息系统安全与关键信息基础设施安全的重要因素,以及网络安全保障体系和能力建设的重要环节。嘉宾们围绕软件供应链安全发展的主要驱动力、关基行业中的实施现状和落地难点、产学研成果转化、软件供应链安全的重要性等话题展开激烈讨论。

“网安三人行”盘点:软件供应链安全的那些事儿

1  软件供应链安全发展的主要驱动力是什么?

北京邮电大学张文博:从宏观角度来看,随着数字经济不断发展、人们日常生活离不开各类软件和APP、个人隐私保护等需求推动着软件供应链安全的发展。客户需求是软件供应链安全发展的根源,即使需要满足法律法规与相关行业规范,规范诞生的源头仍然是需求

默安科技沈锡镛:从SolarWinds供应链攻击事件可以看出,针对软件供应链的高级攻击愈演愈烈,安全事件是驱动这个细分领域发展的重要因素;其次,从合规的角度来说,由于软件供应链安全的行业属性过强,制定通用标准难度较大,软件供应链安全的发展仍然以自发需求为主。

贝壳安全李文鹏:软件供应链安全多为自身安全需求驱动,在物联网、云计算等技术发展过程中不可避免地出现大量财产、个人隐私、商业秘密泄露等问题。同时软件供应链条越长越复杂,安全问题越突出。

“网安三人行”盘点:软件供应链安全的那些事儿

 2  关键信息基础设施等行业在软件供应链安全方面的现状如何?面临哪些问题?

贝壳安全李文鹏:从企业角度来说,主要面临两大痛点。第一,随着软件工业化和软件规模的不断发展,安全风险和软件膨胀成正比,如何有序管理复杂的软件供应链成为企业关心的话题。企业内部有多少应用、基础设施、关键组件不得而知。软件资产与供应链的梳理难度大是主要痛点之一。第二,从技术角度来看,市场上不缺软件供应链安全治理工具,但各个用户都有自己的软件管理流程、CI/CD流程,如何将工具与用户现有流程有机融合,实现效能最大化,是目前面临的重要挑战。

默安科技沈锡镛:之前接触的关键信息基础设施行业用户,如证券、互联网、电力等,都提到了与贝壳同样的共性问题。此外,组织内部的部门割裂也是比较严重的问题。在研发侧加强对软件供应链安全的重视程度十分重要。无论采用哪种开发模式,都应制定安全开发机制,加入第三方组件等供应链资产的梳理,或将安全融入需求分析阶段(例如有些架构漏洞无法修复,则用高可用架构替换)。总结来说,三个观点:软件供应链“底账”摸不清楚,后患无穷;应提高研发部门对安全的重视程度;软件供应链最先落地的可能不是互联网行业,而是数据密度大、供应链非常长的工业企业等。

数世咨询李少鹏:关键信息基础设施行业软件供应链中的组件可能应用并不广泛,但安全事件带来的负面影响不可小觑。在当前“离散制造”的大环境下,软件供应链安全的重要性会越来越突出。

 北京邮电大学张文博:关键信息基础设施行业还面临非常严峻的合规性问题。互联网出现的初始目的是为防止“核打击”,即使在受到攻击的情况下也需要保证政府机构正常运作。因此互联网的根源实际是关键基础设施。随着互联网的发展,相关法律规范也不断完善。例如中央网络安全和信息化委员会于2021年12月印发的《“十四五”国家信息化规划》,就从政策角度指出安全与发展双轮驱动的要求。

“网安三人行”盘点:软件供应链安全的那些事儿

3  软件供应链安全治理的落地会遇到哪些问题?

贝壳安全李文鹏有些单位会严格管控所有供应链和第三方组件引入流程,但这类纯管理方式导致研发效率低,同时审核人与实际业务形态脱离,实际安全管控效果不够理想。目前常见的做法是注重安全事件的缓解,容忍某些单点突破,但需通过纵深防御机制,防止攻击链和影响范围的不断扩大,避免全面失守。但目前软件供应链安全治理落地仍然存在很大的提升空间,可能需要学术界和厂商侧共研一些解决方案。 

默安科技沈锡镛:这个问题的本质可以理解为安全左移到什么程度。比如在架构评审即融入安全非常重要,安全与研发部门深入合作、共同面对和解决问题。安全左移是安全与研发的责任共担,而非将安全责任转移到研发部门。因此开发安全体系的一大特点应该是“陪伴式交付”,并且安全交付没有终点,而是一个不断改进和迭代的过程。

北京邮电大学张文博:术业有专攻——安全和开发很多时候处于“两个次元”,工作思路差异较大,双方沟通一定存在摩擦,因此共同完成安全开发工作就必须做到“宽容”。

“网安三人行”盘点:软件供应链安全的那些事儿

4  高校在软件供应链安全方面的研究成果如何转化为解决问题的产品与能力?

北京邮电大学张文博:产学研转化不止在软件供应链安全领域,在很多其它科技领域都存在。主要原因:国内愿意在研发投入大量成本的企业比较有限;学术研究和企业的目标侧重点存在差异,企业更注重经济效益,很多时候是短期的回报,而从学术层面来说,能够快速产生经济价值的研究并不一定存在很高的学术创新价值。实际解决只能逐步开展,当前最实际的做法是与企业展开人才培养合作,共同为社会输送更多高精尖人才。

贝壳安全李文鹏:当前的产学研转化问题可能与国家目前的发展阶段有关,但这个问题已经引起极大的重视,从社会意识上来说已是很大的进步。

5  安全体系建设过程中,软件供应链安全应当扮演怎样的角色?

贝壳安全李文鹏:随着软件规模的增长,软件供应链安全重要性日益突出,目前应该处于一个转型的连接点,但很难定义为一个具体的角色,它是软件设计、需求评审、研发、上线全流程中必不可少的环节,需要安全与业务共同合作。其中也包括SDL,贯穿软件开发和运营全生命周期。从宏观角度来说,软件供应链安全建设需要软件工程学整个领域的转型和突破。

北京邮电大学张文博:软件供应链至少包括开发、发布、使用等阶段,涵盖整个商业活动,其中的安全不可忽略;应分阶段地落实,同时也需要统一管理

默安科技沈锡镛:软件供应链安全实际在整个安全体系建设中扮演融合的角色,例如完整的安全开发体系就是软件供应链安全的基底,包括全流程的设计安全、编码阶段的安全、测试阶段的安全等等。


总结

从本次活动的讨论内容可以看出,软件供应链安全离不开SDL安全开发生命周期的全流程建设。默安科技是国内开发安全和DevSecOps领域的先行者,在软件供应链安全领域有着丰厚经验和技术积累,此次与数世咨询合作,邀请用户、厂商、院校专家“把酒话网安”, 通过访谈的形式讨论当下最热门安全话题之一——软件供应链安全,希望能给网安从业企业、关基行业单位带来一些开展软件供应链安全治理工作的思路和建议。未来,默安科技将继续为众多合作伙伴输出有价值的内容,提供更安全有效的产品、方案与服务。文章来源地址https://www.toymoban.com/news/detail-425260.html

到了这里,关于“网安三人行”盘点:软件供应链安全的那些事儿的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 全球软件供应链安全指南和法规

    供应链安全继续在网络安全领域受到重点关注,这是有充分理由的:SolarWinds、Log4j、Microsoft 和 Okta 软件供应链攻击等事件继续影响领先的专有软件供应商以及广泛使用的开源软件软件组件。 这种担忧是全球性的。随着各国政府寻求降低软件供应链攻击的风险,世界各地的法

    2024年02月02日
    浏览(36)
  • 开发安全、软件供应链安全及开源软件安全的概念差异

    开发安全、软件供应链安全和开源软件安全是在软件生命周期中不同阶段涉及到的安全概念,它们有着一些共同点,同时也存在一些显著的差异。以下是它们之间的比较总结: 范围 : 开发安全 :关注于整个软件开发过程中的安全性,包括代码编写、测试、部署等环节。 软

    2024年03月14日
    浏览(93)
  • SOFAStack软件供应链安全产品解析——SCA软件成分分析

    近年来,软件供应链安全相关攻击事件呈快速增长态势,造成的危害也越来越严重,为了保障软件供应链安全,各行业主管单位也出台了诸多政策及技术标准。基于内部多年的实践,蚂蚁数科金融级云原生PaaS平台SOFAStack发布完整的软件供应链安全产品及解决方案,包括静态代

    2024年02月04日
    浏览(46)
  • 软件供应链安全:寻找最薄弱的环节

    在当今的数字时代,软件占据主导地位,成为全球组织业务和创新的支柱。它是差异化、项目效率、成本降低和竞争力背后的驱动力。软件决定了企业如何运营、管理与客户、员工和合作伙伴的关系,以及充分利用他们的数据。 挑战在于,当今的大多数软件都不是从头开始开

    2024年04月17日
    浏览(51)
  • 文献阅读笔记 # 开源软件供应链安全研究综述

    纪守领,王琴应,陈安莹,赵彬彬,叶童,张旭鸿,吴敬征,李昀,尹建伟,武延军.开源软件供应链安全研究综述.软件学报. http://www.jos.org.cn/1000-9825/6717.htm 主要作者来自浙江大学、中科院软件所、华为 资源: pdf 本文总结了开源软件供应链的关键环节, 基于近10年的攻击事件总结了开源软

    2024年02月12日
    浏览(46)
  • Gartner发布降低软件供应链安全风险指南

    软件供应链攻击已呈三位数增长,但很少有组织采取措施评估这些复杂攻击的风险。这项研究提供了安全和风险管理领导者可以用来检测和预防攻击并保护其组织的三种实践。 主要发现 尽管软件供应链攻击急剧增加,但安全评估并未作为供应商风险管理或采购活动的一部分

    2024年02月04日
    浏览(49)
  • 一文读懂什么是软件供应链安全

    今天的大部分软件并不是完全从头进行开发设计的。相反,现在的开发人员频繁的依赖一系列第三方组件来创建他们的应用程序。通过使用预构建的库,开发人员不需要重新发明轮子。他们可以使用已经存在的工具,花更多的时间在专有代码上。这些工具有助于区分他们的软

    2024年02月05日
    浏览(50)
  • 企业应如何做好软件供应链安全管理?

    随着软件供应链攻击日益普遍,Gartner 将其列为2022 年的第二大威胁。Gartner 预测,到 2025 年,全球 45% 的组织将遭受一次或多次软件供应链攻击,是2021年的3倍。这些攻击一旦成功,将给企业带来毁灭性打击,因此如何做好软件供应链管理成为企业关注的重要课题。 目前国内

    2024年02月16日
    浏览(49)
  • 龙腾荆楚 | 软件供应链安全检测中心落地襄阳

    1月16日, 襄阳市东津新区“园区提质、企业满园”行动暨2024年东津云谷首月重大项目集中签约活动圆满完成 ,开源网安城市级项目再下一城,分别与襄阳市政府、高校、国投签订战略合作协议,推动荆楚地区数字政府、数字经济、数字社会、数字生态协同高质量发展。 襄阳

    2024年01月20日
    浏览(56)
  • 开源时代:极狐GitLab如何保证软件供应链安全

    开源吞噬软件 “软件吞噬世界,开源吞噬软件”已经不是一句玩笑话了。根据Synopsys发布的《2021年开源安全和风险分析报告》显示,98%的样本代码库中包含开源代码,75%的样本代码库是由开源代码组成的。上述结果是通过对1500+商业代码库进行分析得出的,开源不仅存在于大

    2024年02月03日
    浏览(47)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包