开源网安受邀分享软件供应链安全风险应对之策

2023-03-21 11:34

软件供应链攻击正成为一种常见的非法获取商业信息的犯罪形式。提前发现软件供应链安全风险,预防软件供应链攻击已成为保障网络空间安全和维护国家安全的重要手段。为解决以上问题,近日,湖南省网络空间安全协会第三期“网络无边 安全有界--网络安全云培训”成功举办。


开源网安(长沙)副总经理陈凡受邀参加本次培训宣讲,带来《从应用开发、系统交付看软件供应链安全》为主题的内容分享,通过分析软件供应链安全的现状与挑战,提出了相应解决思路。


人、制度、工具形成软件供应链安全体系


陈凡提出:软件供应链安全体系是由人、制度、工具构成的。只有相互促进,明确三者之间的协同机制,才能保障开源治理工作有效落地。


建设软件供应链安全体系应内外兼修

软件供应链安全体系建设管理分为两个部分:内部和外部。不仅要建设内部安全制度、检测机制审查流程,还需要确保外部第三方(软件、硬件、服务等)不会成为被攻击的通道,保障内外供应链安全。

开发、交付、使用各个环节安全缺一不可

软件供应链管理贯穿软件产品和服务全生命周期,从供需关系建立、软件开发设计环节、产品交付环节、运维使用环节,直至软件废止或服务终止。保障软件供应链安全需要在各个环节的各项活动中采取安全措施进行管控。


安全左移是把控风险的最优解

落实安全管理责任应同步规划、同步建设、同步运行,在开发新建信息系统时就考虑安全左移,在系统交付上线前就把好安全关卡,在正式运行前消除安全漏洞、降低运营安全风险。