2022年8月1日,由玄境安全、ISC、中国电信研究院联合主编的《软件供应链安全治理与运营论坛》,《软件供应链安全治理与运营白皮书(2022)》在ISC互联网安全大会“On正式发布,白皮书聚焦软件供应链安全现状与挑战,阐述软件供应链安全治理体系和开源威胁治理解决方案,旨在帮助读者增强软件供应链安全意识,丰富治理思路图1《软件供应链安全治理与运营白皮书(2022)》官方发布的Gartner分析指出“到2025年,全球45%的组织的软件供应链将受到攻击,是2021年的三倍”。软件供应链的安全威胁将越来越严重近年来,针对软件供应链的攻击越来越多,如何应对此类威胁是重点许多企业的。毕竟网络安全关系到企业的正常运转,是国民经济正常运转的重要前提。软件供应链安全作为网络安全的重要组成部分,是实现网络安全的重要前提。本白皮书第一章介绍了软件供应链安全的发展背景,从政策法规和行业标准的角度详细阐述了软件供应链的重要性;到目前为止,已经对软件供应链安全相关事件进行了详细的归纳,并对三个典型事件进行了分析。通过系统的整理、分析和研究,总结了软件供应链的风险。8个典型特征;同时,也延伸了软件供应链的安全风险。与以往相比,许多内容都得到了更充分的解释。详情可自行查看。图2《软件供应链安全治理与运营白皮书(2022)》类软件供应链安全治理体系报告详述了软件供应链安全治理的通用框架。此外,还构建了较为全面、系统的软件供应链安全治理体系。借助安全自动化工具,对整个供应链进行软件安全风险管理。图3软件供应链安全治理系统开源威胁治理Perforce的开源倡议(OSI)和OpenLogic联合对开源软件的状态进行了全球调查。数据显示,在过去12个月中,77%的受访者在其组织中增加了对开源软件的使用,其中36.5%的受访者表示其使用量显着增加。统计数据还显示,90%的组织都依赖开源软件,并且开源软件通常嵌入到其他开源项目中。然而,开源虽然为企业提供了创新和快速发展的源泉,但也伴随着安全隐患,为攻击者提供了潜在的安全威胁切入点。白皮书描述了开源软件安全风险、开源威胁治理技术、开源威胁治理先决条件和开源威胁治理阶段。它还从开源SCA工具和商业SCA工具两个维度介绍了具有代表性的SCA工具。为了让读者对各个工具有更深入的了解,下面还附上了开源SCA工具对比表。更详细的对比项目请参考白皮书。图4开源SCA工具对比国内外应用安全厂商都有自己成熟的AST工具链,甚至平台和服务体系,也衍生出更丰富的工具布局和规划设计,以适应云原生、物联网、工业互联网等不同的应用场景。在开源治理方面,白皮书也详细介绍了企业应该从商业SCA工具中选择哪些能力。最后,技术的发展让社会协作更加频繁和深入,信息技术行业也是如此。我们自己的业务系统会集成第三方代码,使用第三方提供的开发环境,应用第三方生产的构建工具,运行在第三方开发的微服务和容器上。这种深度协作使得我们的业务生产和运营效率得到了成倍的提升,但与此同时,软件供应链风险也出现了前所未有的增长。SolarWindsOrion事件让人们看到了供应链攻击的威力,ApacheLog4j2漏洞让人们知道开源代码千疮百孔,Equifax信息泄露事件让人们知道大企业的安全是建立在安全之前的。软件供应链的漏洞它有多脆弱。这些都对我们编写这份报告做出了贡献。我们希望用系统的思维和方法,对软件供应链安全治理和运营的方方面面进行收集、分析、整理和阐释。限于篇幅,本文提到的工具、方法和措施在软件供应链安全领域只是沧海一粟,还需要读者在实践中进行更多探索。如何获得报告?关注玄境安全服务号,后台回复关键字:软件供应链报告,即可下载玄境安全,DevSecOps敏捷安全领导者。它起源于北京大学网络安全技术研究团队“XMIRROR”,创始人子牙。玄境专注于以码疫苗技术为核心,持续助力金融、车联网、泛互联网、能源等行业用户构建适应自身业务弹性发展的内生主动防御体系,面向敏捷业务交付,引领未来架构演进。更多信息请访问XmirrorSecurity官网:www.xmirror.cn关于ISC互联网安全大会(简称ISC)作为亚太地区标准高、辐射广、影响深远的全球安全峰会当今区域乃至全球,互联网安全大会已经连续举办九届,被誉为中国网络安全行业的名片和全球网络安全行业的风向标。大会举办九年来,大会围绕网络空间治理、数据安全、威胁情报、物联网安全等前沿安全问题,举办了20多场国际峰会,设立了300多个分会场。论坛,输出2000多个行业领先的话题。来自中国、美国、俄罗斯、以色列、德国等全球30多个国家的2000多位政要、行业领袖、网络安全专家深入参与,共同探讨全球网络安全生态。关于中国电信研究院中国电信研究院以机制创新、技术创新、管理创新为手段,坚持人才第一、以人为本,实施人性化管理,努力成为国际国内知名企业短期内的电信运营领域。有影响力的研发机构。主要研究电信技术发展趋势和战略,研究技术发展政策,研究网络、技术和业务发展规划,研究技术体系和标准,负责新技术、新设备入网测试与评估,开展软科学研究和决策开发研究、网络管理和业务管理等支撑系统开发、应用软件研究和系统集成、电信新业务和增值业务开发等,提供决策支持、技术支持,为集团公司及各省分公司提供信息支持。
