时间:2023-05-30 作者:奇安信集团
5月29日上午,全国信息安全标准化技术委员会(以下简称信安标委)2023年第一次“标准周”全体会议在云南昆明召开。奇安信集团总裁吴云坤出席并发表主题演讲。他建议,从开发、开源、运行部署、自动化渗透测试及软件供应链风险管理上五方面构建关键能力,体系化治理软件供应链安全。
软件供应链安全对于数字化安全越来越重要。吴云坤对软件供应链的安全趋势有三个判断:
首先,软件供应链安全事件频发,影响越来越大,成为政企机构重要安全挑战。Gartner因此将软件供应链安全列为2022年的第二大威胁,并预测到2025年全球45%的组织将遭受一次或多次软件供应链攻击。
第二个判断是软件供应链是很多组织和机构的防护短板,成为网络攻击的主要目标。
第三是软件供应链风险存在于应用系统的全生命周期的全过程、各个环节。
软件供应链是一个复杂系统,既包含了复杂的相互依赖的上下游生态和组件,也包括自身庞杂的生命周期的各个阶段和环节,“因此软件供应链安全也需要用系统工程方法体系化、全局性治理”,他提出,要建立供应方、应用方、软件开发机构分工明确、协同联动,技术与管理深度结合,覆盖软件供应链全过程、全环节、各领域的治理体系。
软件供应链安全治理体系要达成既定目标,有四个关键点:1,明确软件供应链安全管理控制点。2,完善软件供应链安全管理的组织建设。3,健全软件供应链安全管理工作内容与制度。4,做好软件供应链安全的能力设计。
对此,吴云坤提出,软件供应链安全治理需要五个方面构建关键技术能力:一是建设基于源代码安全缺陷及后门分析的开发安全能力。二是建设基于开源组件/二进制成分风险分析的开源安全能力。三是建设基于软件空间测绘的安全部署、运行能力。四是建设基于感知与自主测试的自动化渗透测试能力。五是建设基于SBOM风险分析的软件供应链风险管理能力。
他透露,上述思路、方法和能力建设,奇安信已与多个行业客户一起,在多个重要项目和工程中对软件供应链安全治理进行了实践——北京冬奥组委应用系统生命周期管理及奇安信内部开源软件安全专项治理就是两个典型成功案例。
最后他对软件供应链安全治理提出四点建议:一、软件供应链安全是一个系统工程,需要用系统工程方式体系化、全局性治理;二、软件供应链安全需要技术和管理的结合,管理体系和管理制度建设是关键;三、软件供应链安全的技术能力建设必须涵盖开发生产、集成交付、使用运行各阶段;四、开源组件应用范围广、安全隐患多,是软件供应链安全的重中之重,需要加强源代码成分分析和风险识别。
据悉,中央网信办网络安全协调局局长、信安标委副主任委员高林出席会议并作“网络安全形势和标准化工作任务”技术报告。中国工程院院士倪光南、中国工程院院士杨善林受邀参加会议并作技术报告。信安标委6个工作组组长和副组长,以及390多家信安标委工作组成员单位代表近900人参加了会议。
95015服务热线
微信公众号