亚洲精品中文字幕一二,国产精品一区第二页尤自在拍,中文字幕乱码熟妇五十中出

產(chǎn)品中心

解決方案

服務(wù)與支持

信創(chuàng)

默安智庫

關(guān)于默安

0571-57890068

面臨挑戰(zhàn)

軟件供應(yīng)鏈安全成為政府行業(yè)關(guān)注的焦點

一是由于數(shù)字化轉(zhuǎn)型趨勢下，軟件架構(gòu)復(fù)雜性增加，外部引入成分占比增加，供應(yīng)鏈中斷風(fēng)險增加；二是由于缺乏全面有效的安全評估和防護措施，各個環(huán)節(jié)均存在被攻擊者利用漏洞或惡意代碼進行篡改或破壞的可能，導(dǎo)致組件漏洞和供應(yīng)鏈投毒事件頻發(fā)；三是由于多種開源許可協(xié)議之間存在不兼容性和沖突性，違反許可證條款將可能面臨知識產(chǎn)權(quán)糾紛和法律責(zé)任。

政府行業(yè)面臨日益嚴峻的合規(guī)性壓力

近年來，國家不斷建立健全軟件供應(yīng)鏈安全相關(guān)法律法規(guī)、標準制度，政府行業(yè)面臨日益嚴峻的合規(guī)性壓力。相較于等保2.0，《GB/T39204-2022信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求》對關(guān)基提出了更高的軟件供應(yīng)鏈安全保護要求：一是在供應(yīng)商選擇時，應(yīng)注意防范非技術(shù)因素導(dǎo)致產(chǎn)品和服務(wù)供應(yīng)中斷風(fēng)險；二是驗收時應(yīng)對軟件進行源代碼層面的安全檢測；三是關(guān)基單位應(yīng)要求產(chǎn)品和服務(wù)提供者對設(shè)計、研發(fā)、生產(chǎn)、交付等關(guān)鍵環(huán)節(jié)加強安全管理。

安全監(jiān)管趨于事前安全、過程安全和內(nèi)在安全

目前，監(jiān)管機構(gòu)在軟件供應(yīng)鏈安全的檢查趨于事前安全、過程安全和內(nèi)在安全：一是以查帶評明確軟件供應(yīng)商軟件生產(chǎn)過程各個生命周期的安全要求；二是針對內(nèi)部開發(fā)過程安全投毒，重點評估開發(fā)基礎(chǔ)設(shè)施的安全配置和審計能力；三是加大對軟件產(chǎn)品內(nèi)在組件漏洞、自研比、成分的評分權(quán)重。

方案介紹

政府行業(yè)主管側(cè)

政府單位側(cè)

供給側(cè)

默安科技通過行業(yè)軟件供應(yīng)鏈安全風(fēng)險可視化，梳理高頻、核心組件清單為下一步治理建立基礎(chǔ)；通過將項目成果轉(zhuǎn)化成地方標準，配合全面的軟件供應(yīng)鏈安全風(fēng)險評估活動，快速在行業(yè)內(nèi)推廣軟件供應(yīng)鏈安全最佳實踐，推動行業(yè)軟件代碼安全水平提升。

方案優(yōu)勢

整體提升區(qū)域軟件安全態(tài)勢透明度

以合規(guī)檢查為技術(shù)手段，通過對合作單位源數(shù)據(jù)有效采集，結(jié)合自建開源組件庫、合規(guī)檢查庫、安全檢查庫對目標進行安全掃描評估，自建立安全維度、資產(chǎn)維度，構(gòu)建區(qū)域級軟件供應(yīng)商安全畫像。

面向軟件供應(yīng)商的事前、事中、事后服務(wù)

建立事前入網(wǎng)咨詢檢查、事中安全檢測、事后安全分析的面向合作單位安全服務(wù)流程。事前：面向軟件供應(yīng)商提供開源組件許可證安全、漏洞安全、入網(wǎng)評估平臺級安全咨詢服務(wù)；事中：提供開源組件、代碼審計、資產(chǎn)合規(guī)/安全的SBOM透視能力；事后：開展軟件供應(yīng)鏈安全評估活動，綜合分析軟件供應(yīng)商一次性的外顯安全能力。

構(gòu)建區(qū)域內(nèi)可信賴的軟件供應(yīng)鏈業(yè)務(wù)模型

對軟件供應(yīng)商安全開發(fā)活動、軟件成分分析、安全風(fēng)險監(jiān)控、次級供應(yīng)商安全管理和安全制度規(guī)范管理進行綜合評估，促使在整個業(yè)務(wù)閉環(huán)中建立準入登記機制、黑白名單機制，從而提升供需關(guān)系信賴度。

構(gòu)建區(qū)域級的軟件供應(yīng)鏈安全評估體系

以軟件供應(yīng)鏈安全國家、行業(yè)標準為整體框架和評估業(yè)務(wù)指導(dǎo)，結(jié)合區(qū)域技術(shù)棧特色，供應(yīng)鏈采購關(guān)系業(yè)務(wù)特色與框架指標相融合取長補短，形成統(tǒng)一的、整體的信息安全管理中心評估指標，在評估過程中進一步完善評估業(yè)務(wù)規(guī)范，相輔相成地輸出區(qū)域級的軟件供應(yīng)鏈安全評估體系。