绿盟科技发布白皮书:厘清企业供应链依赖关系是保障软件供应链安全的关键论坛”在深圳举行。会上,绿盟科技发布《软件供应链安全技术白皮书》(以下简称《白皮书》paper”),对推动国内软件供应链生态建设具有重要意义。信息通信技术(ICT)产业链承担着我国工业由工业化向数字化转型升级的重要任务。作为重要的作为ICT供应链的一部分,软件供应链是各类关键信息基础设施顺利运行的基础,其关键组件的设计、开发、部署、监控等生命周期核心环节的安全性和可控性,和持续运行,已成为网络安全的关键考虑因素。在本次会议上,高级研究员陈静绿盟科技集团天元实验室发表讲话。她表示,从近年来软件供应链攻击事件来看,利用开源社区、公共开源存储仓库等开源软件生态入侵事件较为常见。严肃的。因此,有必要从监管层面加强供应链产品安全认证管理,提供企业软件SBOM托管和可信认证服务。企业还需要完善供应链资产管理和安全检查,利用SBOM知识图谱厘清企业供应链的依赖关系,以便在检测到预警时能够从容应对。同时,为了应对软件供应链面临的威胁,上游企业需要建立自己的软件组件清单,梳理软件供应链信息,为下游企业和用户提供管理软件所需的基础条件。供应链清晰透明。软件组件列表根据识别组件的粒度可分为不透明、微透明、半透明和透明三个阶段。高度透明的软件组件清单可以显着提高最终用户软件供应链安全评估的准确性。绿盟科技集团天元实验室高级研究员陈静,此外,陈静进一步阐述了企业供应链的上下游关系。她表示,在软件开发生命周期中,开发阶段引入漏洞不仅仅是在代码编写阶段,而是依赖于开源组件、开发构建工具等,根据软件开发构建过程中,企业需要在开发过程中构建安全评估能力。在软件交付阶段,作为供应商,除了要保证交付软件的安全性外,还应该将软件组件清单交付给下游企业,让整个软件供应链的上下游都有第三方信息例如安全通知和威胁情报监控。能够分析评估软件供应链安全的基本情况。供应链软件产品交付运行后,供应商应提供产品生命周期内的安全保障服务,及时修复产品漏洞。进行安全评估,结合漏洞预警,加固和修复受影响的产品。在技??术的不断迭代和产业的快速发展中,软件供应链逐渐形成了一个庞大的产业生态,包括技术体系、多个产品组件,以及各类开发者、供应商和消费者。软件供应链的安全将直接影响关键基础设施和数字经济安全。绿盟科技作为中国可信安全生态体系建设的积极参与者,发布了软件供应链技术安全白皮书,旨在从软件供应链的安全威胁和软件供应链的安全问题梳理软件供应链中存在的安全问题。国内外形势,提炼出软件供应链链安全治理的核心概念、技术框架、关键技术,以及从供应链安全监管和控制方面的解决方案和最佳实践,有望带来新的技术为读者所思,为我国软件业的发展助一臂之力。未来,绿盟科技将不忘初心,坚持以科技兴业,积极履行社会责任。相信随着软件供应链安全的稳步发展,我国软件供应链安全技术应用生态和数字化建设将迎来一个新的高度。
