0571-57890068面臨挑戰(zhàn)
軟件供應鏈安全成為政府行業(yè)關注的焦點
一是由于數字化轉型趨勢下,軟件架構復雜性增加,外部引入成分占比增加,供應鏈中斷風險增加;二是由于缺乏全面有效的安全評估和防護措施,各個環(huán)節(jié)均存在被攻擊者利用漏洞或惡意代碼進行篡改或破壞的可能,導致組件漏洞和供應鏈投毒事件頻發(fā);三是由于多種開源許可協(xié)議之間存在不兼容性和沖突性,違反許可證條款將可能面臨知識產權糾紛和法律責任。
政府行業(yè)面臨日益嚴峻的合規(guī)性壓力
近年來,國家不斷建立健全軟件供應鏈安全相關法律法規(guī)、標準制度,政府行業(yè)面臨日益嚴峻的合規(guī)性壓力。相較于等保2.0,《GB/T39204-2022信息安全技術 關鍵信息基礎設施安全保護要求》對關基提出了更高的軟件供應鏈安全保護要求:一是在供應商選擇時,應注意防范非技術因素導致產品和服務供應中斷風險;二是驗收時應對軟件進行源代碼層面的安全檢測;三是關基單位應要求產品和服務提供者對設計、研發(fā)、生產、交付等關鍵環(huán)節(jié)加強安全管理。
安全監(jiān)管趨于事前安全、過程安全和內在安全
目前,監(jiān)管機構在軟件供應鏈安全的檢查趨于事前安全、過程安全和內在安全:一是以查帶評明確軟件供應商軟件生產過程各個生命周期的安全要求;二是針對內部開發(fā)過程安全投毒,重點評估開發(fā)基礎設施的安全配置和審計能力;三是加大對軟件產品內在組件漏洞、自研比、成分的評分權重。
方案介紹
方案優(yōu)勢
整體提升區(qū)域軟件安全態(tài)勢透明度
以合規(guī)檢查為技術手段,通過對合作單位源數據有效采集,結合自建開源組件庫、合規(guī)檢查庫、安全檢查庫對目標進行安全掃描評估,自建立安全維度、資產維度,構建區(qū)域級軟件供應商安全畫像。
面向軟件供應商的事前、事中、事后服務
建立事前入網咨詢檢查、事中安全檢測、事后安全分析的面向合作單位安全服務流程。事前:面向軟件供應商提供開源組件許可證安全、漏洞安全、入網評估平臺級安全咨詢服務;事中:提供開源組件、代碼審計、資產合規(guī)/安全的SBOM透視能力;事后:開展軟件供應鏈安全評估活動,綜合分析軟件供應商一次性的外顯安全能力。
構建區(qū)域內可信賴的軟件供應鏈業(yè)務模型
對軟件供應商安全開發(fā)活動、軟件成分分析、安全風險監(jiān)控、次級供應商安全管理和安全制度規(guī)范管理進行綜合評估,促使在整個業(yè)務閉環(huán)中建立準入登記機制、黑白名單機制,從而提升供需關系信賴度。
構建區(qū)域級的軟件供應鏈安全評估體系
以軟件供應鏈安全國家、行業(yè)標準為整體框架和評估業(yè)務指導,結合區(qū)域技術棧特色,供應鏈采購關系業(yè)務特色與框架指標相融合取長補短,形成統(tǒng)一的、整體的信息安全管理中心評估指標,在評估過程中進一步完善評估業(yè)務規(guī)范,相輔相成地輸出區(qū)域級的軟件供應鏈安全評估體系。
即刻獲取方案
正勤·美培創(chuàng)意園3號樓