近日,中國信息通信研究院公布了2022安全守衛(wèi)者計劃。憑借在軟件供應(yīng)鏈安全的豐富實踐和技術(shù)積累,奇安信申報的“基于DevOps的供應(yīng)鏈安全實踐”和“開源軟件安全治理體系”獲2022安全守衛(wèi)者計劃優(yōu)秀案例。中國信通院還公布了“業(yè)務(wù)安全推進計劃”成員單位,奇安信集團入選為首批成員單位。
近年來,針對軟件供應(yīng)鏈的攻擊事件一直呈快速增長態(tài)勢。根據(jù)奇安信發(fā)布的《2021中國軟件供應(yīng)鏈安全分析報告》數(shù)據(jù)顯示:國內(nèi)企業(yè)軟件項目100%使用了開源軟件;超8成軟件項目存在已知高危開源軟件漏洞;平均每個軟件項目存在66個已知開源軟件漏洞,15年前的開源軟件漏洞仍然存在于多個軟件項目中。
無所不在的軟件漏洞,成為軟件供應(yīng)鏈安全的核心威脅。對此,奇安信推出了面向軟件供應(yīng)鏈安全的整體解決方案,積極推進國內(nèi)企業(yè)軟件供應(yīng)鏈安全建設(shè)。
在浙江移動“基于DevOps的供應(yīng)鏈安全實踐”案例中,奇安信協(xié)助浙江移動建立了供應(yīng)鏈安全治理和管理體系,并通過奇安信代碼衛(wèi)士、奇安信開源衛(wèi)士與浙江移動軟件代碼庫、私服制品庫等研發(fā)平臺對接,在研發(fā)、測試環(huán)節(jié)提供源代碼缺陷檢測、開源組件安全檢測,通過工具、技術(shù)手段將可以自動化、重復(fù)性的安全工作融入到研發(fā)體系內(nèi),讓安全屬性嵌入到整條流水線,提高軟件質(zhì)量和供應(yīng)鏈安全治理水平。
通過項目的落地應(yīng)用,不僅為浙江移動規(guī)范了開源軟件的全生命周期流程,規(guī)范供應(yīng)商的軟件代碼安全開發(fā)和準入流程,建立了開源軟件資產(chǎn)管理能力、開源軟件漏洞檢測能力、源代碼審計能力,大幅提升了IT系統(tǒng)供應(yīng)鏈開源軟件檢測項目覆蓋率,建立開源軟件安全漏洞情報機制、提高了開源軟件的風險排查及響應(yīng)速度,還在運營商行業(yè)開展源代碼檢測、開源軟件治理安全實踐,實現(xiàn)DevOps流程和研發(fā)安全融合,為集團總部和其他同行積累了開源軟件治理經(jīng)驗。
在為某商業(yè)銀行打造的“開源軟件安全治理體系”中,奇安信針對用戶的業(yè)務(wù)和應(yīng)用需求,搭建了一套B/S架構(gòu)解決方案開源衛(wèi)士,構(gòu)建了開源軟件準入管控、開源軟件資產(chǎn)識別、漏洞及協(xié)議風險分析、開源軟件最新漏洞情報監(jiān)測等四大典型應(yīng)用場景。
該方案不僅建立了系統(tǒng)-源碼-組件-漏洞情報的關(guān)聯(lián)關(guān)系,以可視化的方式呈現(xiàn)全行開源軟件資產(chǎn)和漏洞臺賬,還在DevSecOps落地場景中對接客戶的開發(fā)、測試系統(tǒng),讓開源衛(wèi)士無縫融入銀行現(xiàn)有研發(fā)流程,實現(xiàn)日常開發(fā)自動化檢測,并建立起配套的安全管控流程和制度,方便該銀行更加規(guī)范、標準的治理開源軟件安全問題。
相關(guān)負責人介紹,本次“安全守衛(wèi)者計劃”優(yōu)秀案例征集評選,旨在通過安全產(chǎn)品、解決方案、安全服務(wù)的涌現(xiàn),為企業(yè)數(shù)字資產(chǎn)安全提供有力保障,提供可靠的生產(chǎn)環(huán)境,提高效率,降低風險。
此外,奇安信還作為“業(yè)務(wù)安全推進計劃”首批成員單位,獲得中國信通院授牌。
據(jù)悉,“業(yè)務(wù)安全推進計劃”由中國信通院牽頭,云計算開源產(chǎn)業(yè)聯(lián)盟結(jié)合產(chǎn)、學、研各方力量籌備成立,目的為通過搭建業(yè)務(wù)安全創(chuàng)新平臺,推動業(yè)務(wù)安全產(chǎn)業(yè)發(fā)展,構(gòu)建開放的業(yè)務(wù)安全管理生態(tài)。
