随着中国商飞生产的国产大型飞机C919,圆满完成全球首次商业载客飞行,标志着我国向航空强国的目标更加迈进一步。中国商飞作为国家实施“大型飞机重大专项大型客机项目”的主体单位,坚定不移的推进“中国智造”战略与数字化发展战略,在数字技术与大型飞机研制的融合创新过程中,需要加强把控数字技术的安全性。
严格把控系统研发安全与质量,"安全"造就中国商飞高质量发展
随着数字化的升级发展,在数字技术深度赋能航空工业的情况下,面临的安全风险不容忽视:
1. 航空业信息安全事件频繁发生。全球范围内针对多家航空公司、航空设备制作公司及其供应商均受到黑客勒索和数据泄露等攻击影响。
2. 航空工业核心环节数字建设,安全要求趋严。中国商飞实现民机智能试飞、数字化协同建模与仿真、民机供应链等多个核心环节升级,每个环节所涉及的系统需要严格把控安全质量。
3. 自研应用与第三方应用存在软件供应链安全风险。中国商飞通过自研和第三方供应提供的应用系统实现了研发集成、智能制造、采购供应、企业管理、工业互联网应用等方面的数字化升级,但其系统中难免存在开源组件、第三方组件等安全合规风险。
中国商飞肩负强国使命,研发安全守护航空工业
中国商飞率先采用开源网安先进的代码审核工具CodeSec与软件成分分析工具SourceCheck,打造源码级软件安全检测方案,对内部研发体系和第三方供应商所交付的源码包和制品包进行自动化检测。
方案实现了:
1. 自动化代码安全审计。与研发体系融合,自动化完成对自研代码与第三方应用代码进行深度分析,收集目标代码的框架、库、依赖等信息,通过静态分析方式寻找代码的安全漏洞和潜在风险,并提供解决方案和建议,帮助开发人员修复漏洞和加强代码的安全性。
2. 软件物料清单与软件成分分析。收集软件资产信息并分析各软件资产关系,并以多维度视图的方式展示软件资产,提供实时的软件资产更新功能,并提供多属性的组合查找功能帮助中国商飞快速定位或升级有安全风险的组件。
3. 软件供应链安全检测。通过对软件开发、交付和部署过程中涉及的各个环节进行全面的分析和评估。包括对软件源代码、第三方库、依赖关系、编译过程、打包和分发过程等的检查和验证。对软件供应链中的各个环节进行安全检测和审计,确保中国商飞内部应用系统的完整性、可靠性和安全性,减少供应链攻击的风险。
开源网安为中国商飞打造的源码级软件安全检测方案,提升了最终交付的航空产品的安全性,帮助中国商飞进一步深化了“安全第一”的生产经营理念,确保技术研发处于高质量高安全的水平,推进了新型工业化进程,加速航空强国与制造强国目标的实现。
未来,开源网安将持续提供软件研发安全与软件供应链安全保障能力,推动航空工业、制造业等多领域的数字化安全,助力建设航空强国与制造强国,为高质量发展蓄势赋能。