2022年9月6日,由中央网信办网络安全协调局指导,全国信息安全标准化技术委员会、中国网络安全产业联盟联合主办的“2022年国家网络安全宣传周——网络安全标准与产业装备发展论坛”在北京成功举办。
本次论坛以“共建网安健康生态,共享产业发展新格局”为主题,聚焦数字经济发展安全需要,围绕国家网络安全重点保障工作,探讨我国网络安全产业最新情况以及网络安全产品互联互通、网络安全服务、关键信息基础设施保护、软件供应链安全等重点领域网络安全技术与标准化进展。中央网信办网络安全协调局副局长、一级巡视员高林在致辞中指出:党中央高度重视网络安全工作,网络安全标准化作为网络安全保障体系建设的重要组成部分,发挥着基础性、规范性、引领性作用。要从四大方向开展网络安全工作,强化标准的规范性作用,提升标准的引领性作用,加强标准对产业的基础支撑作用,加大标准落地实施力度。
开源网安副总经理王颉博士在论坛中做《软件供应链安全实践与探索》议题分享。该议题结合开源网安在软件供应链安全方面的落地实战经验和相关标准编制过程中的思考,探讨了软件供应链安全保障的典型场景和关键方法,为行业企业做好软件供应链安全体系构建和能力建设提供了有力参考。
数字经济的崛起
软件供应链成为了新的攻击点
中国数字经济快速发展,软件供应链安全愈发重要。无论是从国际形势、国家战略,亦或是信息技术产品的技术本质和软件的开发模式,软件供应链已经成为了新的攻击手段。
软件供应链安全在软件生产、软件交付、软件运营三个阶段均面临着严峻的挑战。
在软件生产阶段,由于软件供应商的安全开发能力参差不齐,尤其传统开发团队存在着“重功能,轻质量”的特征,开发团队对于网络安全保障和软件安全质量的重视度不足,往往会导致软件安全质量问题。
在软件交付阶段,由于软件交付形式多样,软件上线检查不全面,并在交付过程中团队主要重视交付过程中的安全合规,对于软件的安全质量有所忽视。
在软件运营阶段,由于客户往往重视网络安全边界保护,对软件自身的安全防护能力认识不足,软件因自身的安全质量问题而导致大量攻击面。
结合以上软件三个阶段的问题,开源网安如何从生产到运营全面保障软件供应链安全呢?
三大平台护航软件供应链安全
在软件生产阶段,开源网安软件安全开发平台,既支持传统瀑布开发模式也支持敏捷开发模式,采用全自研的安全开发能力差距分析、威胁建模、源代码安全检测、组件成分分析等工具,在提升软件研发安全质量的同时即保证了研发工作的效率。
在软件交付阶段,开源网安软件供应链安全检测平台,在软件部署上线环节依据国家相关标准提供全面的软件安全检测、供应商安全评估,检测评估结果可视化,有力支撑把好软件交付环节的安全关口。
在软件运营阶段,开源网安软件供应链安全态势感知平台,在SBOM的基础上结合开源网安软件威胁采集平台,应用实时自我防护平台(RASP),为软件运营者提供全面软件安全态势感知、应急响应、主动防御,是已有网络安全防护的必要补充。
对于以上软件供应链安全的三大场景,开源网安已经在在国内多家央企客户和城市软件供应链平台落地实践,取得了示范性的效果。并且,我们已将大量的经验总结形成了一套行之有效的软件供应链安全解决方案,保障各行各业的数字化转型与发展。
数字经济的“万丈高楼”起于软件,我们需要做大做强软件产业,才能为数字经济高质量发展聚势赋能。一直以来,开源网安作为国内软件安全行业的创领者,始终坚持以提升自主创新能力与核心竞争力为目标,会同国家专业机构与行业专家,在实践中不断提升网络安全标准、质量,为各行业提供优秀的产品、服务与解决方案。未来,开源网安将继续助力政府、企业逐步加强软件供应链安全,共同培育软件供应链安全生态、构筑数字经济安全底座。