国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

“網(wǎng)安三人行”盤點:軟件供應(yīng)鏈安全的那些事兒

這篇具有很好參考價值的文章主要介紹了“網(wǎng)安三人行”盤點:軟件供應(yīng)鏈安全的那些事兒。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方,請大家不吝賜教,您也可以點擊"舉報違法"按鈕提交疑問。

2022年伊始,默安科技聯(lián)合數(shù)世咨詢舉辦以“軟件供應(yīng)鏈安全的時與勢”為主題的訪談活動,由數(shù)世咨詢創(chuàng)始人李少鵬主持,邀請貝殼安全研發(fā)負責(zé)人李文鵬、北京郵電大學(xué)副教授張文博、默安科技副總裁沈錫鏞三位行業(yè)大咖做客網(wǎng)安小酒館,從產(chǎn)業(yè)、企業(yè)、學(xué)術(shù)的不同維度,共同探討軟件供應(yīng)鏈安全建設(shè)的新思路,為業(yè)界呈現(xiàn)了一場開年網(wǎng)安盛宴。

隨著全球軟件供應(yīng)鏈安全事件頻發(fā),軟件供應(yīng)鏈安全逐漸成為業(yè)界關(guān)注焦點,也成為影響國家重要信息系統(tǒng)安全與關(guān)鍵信息基礎(chǔ)設(shè)施安全的重要因素,以及網(wǎng)絡(luò)安全保障體系和能力建設(shè)的重要環(huán)節(jié)。嘉賓們圍繞軟件供應(yīng)鏈安全發(fā)展的主要驅(qū)動力、關(guān)基行業(yè)中的實施現(xiàn)狀和落地難點、產(chǎn)學(xué)研成果轉(zhuǎn)化、軟件供應(yīng)鏈安全的重要性等話題展開激烈討論。

“網(wǎng)安三人行”盤點:軟件供應(yīng)鏈安全的那些事兒

1??軟件供應(yīng)鏈安全發(fā)展的主要驅(qū)動力是什么?

北京郵電大學(xué)張文博:從宏觀角度來看,隨著數(shù)字經(jīng)濟不斷發(fā)展、人們?nèi)粘I铍x不開各類軟件和APP、個人隱私保護等需求推動著軟件供應(yīng)鏈安全的發(fā)展。客戶需求是軟件供應(yīng)鏈安全發(fā)展的根源,即使需要滿足法律法規(guī)與相關(guān)行業(yè)規(guī)范,規(guī)范誕生的源頭仍然是需求

默安科技沈錫鏞:從SolarWinds供應(yīng)鏈攻擊事件可以看出,針對軟件供應(yīng)鏈的高級攻擊愈演愈烈,安全事件是驅(qū)動這個細分領(lǐng)域發(fā)展的重要因素;其次,從合規(guī)的角度來說,由于軟件供應(yīng)鏈安全的行業(yè)屬性過強,制定通用標(biāo)準難度較大,軟件供應(yīng)鏈安全的發(fā)展仍然以自發(fā)需求為主。

貝殼安全李文鵬:軟件供應(yīng)鏈安全多為自身安全需求驅(qū)動,在物聯(lián)網(wǎng)、云計算等技術(shù)發(fā)展過程中不可避免地出現(xiàn)大量財產(chǎn)、個人隱私、商業(yè)秘密泄露等問題。同時軟件供應(yīng)鏈條越長越復(fù)雜,安全問題越突出。

“網(wǎng)安三人行”盤點:軟件供應(yīng)鏈安全的那些事兒

?2??關(guān)鍵信息基礎(chǔ)設(shè)施等行業(yè)在軟件供應(yīng)鏈安全方面的現(xiàn)狀如何?面臨哪些問題?

貝殼安全李文鵬:從企業(yè)角度來說,主要面臨兩大痛點。第一,隨著軟件工業(yè)化和軟件規(guī)模的不斷發(fā)展,安全風(fēng)險和軟件膨脹成正比,如何有序管理復(fù)雜的軟件供應(yīng)鏈成為企業(yè)關(guān)心的話題。企業(yè)內(nèi)部有多少應(yīng)用、基礎(chǔ)設(shè)施、關(guān)鍵組件不得而知。軟件資產(chǎn)與供應(yīng)鏈的梳理難度大是主要痛點之一。第二,從技術(shù)角度來看,市場上不缺軟件供應(yīng)鏈安全治理工具,但各個用戶都有自己的軟件管理流程、CI/CD流程,如何將工具與用戶現(xiàn)有流程有機融合,實現(xiàn)效能最大化,是目前面臨的重要挑戰(zhàn)。

默安科技沈錫鏞:之前接觸的關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)用戶,如證券、互聯(lián)網(wǎng)、電力等,都提到了與貝殼同樣的共性問題。此外,組織內(nèi)部的部門割裂也是比較嚴重的問題。在研發(fā)側(cè)加強對軟件供應(yīng)鏈安全的重視程度十分重要。無論采用哪種開發(fā)模式,都應(yīng)制定安全開發(fā)機制,加入第三方組件等供應(yīng)鏈資產(chǎn)的梳理,或?qū)踩谌胄枨蠓治鲭A段(例如有些架構(gòu)漏洞無法修復(fù),則用高可用架構(gòu)替換)??偨Y(jié)來說,三個觀點:軟件供應(yīng)鏈“底賬”摸不清楚,后患無窮;應(yīng)提高研發(fā)部門對安全的重視程度;軟件供應(yīng)鏈最先落地的可能不是互聯(lián)網(wǎng)行業(yè),而是數(shù)據(jù)密度大、供應(yīng)鏈非常長的工業(yè)企業(yè)等。

數(shù)世咨詢李少鵬:關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)軟件供應(yīng)鏈中的組件可能應(yīng)用并不廣泛,但安全事件帶來的負面影響不可小覷。在當(dāng)前“離散制造”的大環(huán)境下,軟件供應(yīng)鏈安全的重要性會越來越突出。

?北京郵電大學(xué)張文博:關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)還面臨非常嚴峻的合規(guī)性問題。互聯(lián)網(wǎng)出現(xiàn)的初始目的是為防止“核打擊”,即使在受到攻擊的情況下也需要保證政府機構(gòu)正常運作。因此互聯(lián)網(wǎng)的根源實際是關(guān)鍵基礎(chǔ)設(shè)施。隨著互聯(lián)網(wǎng)的發(fā)展,相關(guān)法律規(guī)范也不斷完善。例如中央網(wǎng)絡(luò)安全和信息化委員會于2021年12月印發(fā)的《“十四五”國家信息化規(guī)劃》,就從政策角度指出安全與發(fā)展雙輪驅(qū)動的要求。

“網(wǎng)安三人行”盤點:軟件供應(yīng)鏈安全的那些事兒

3??軟件供應(yīng)鏈安全治理的落地會遇到哪些問題?

貝殼安全李文鵬有些單位會嚴格管控所有供應(yīng)鏈和第三方組件引入流程,但這類純管理方式導(dǎo)致研發(fā)效率低,同時審核人與實際業(yè)務(wù)形態(tài)脫離,實際安全管控效果不夠理想。目前常見的做法是注重安全事件的緩解,容忍某些單點突破,但需通過縱深防御機制,防止攻擊鏈和影響范圍的不斷擴大,避免全面失守。但目前軟件供應(yīng)鏈安全治理落地仍然存在很大的提升空間,可能需要學(xué)術(shù)界和廠商側(cè)共研一些解決方案。?

默安科技沈錫鏞:這個問題的本質(zhì)可以理解為安全左移到什么程度。比如在架構(gòu)評審即融入安全非常重要,安全與研發(fā)部門深入合作、共同面對和解決問題。安全左移是安全與研發(fā)的責(zé)任共擔(dān),而非將安全責(zé)任轉(zhuǎn)移到研發(fā)部門。因此開發(fā)安全體系的一大特點應(yīng)該是“陪伴式交付”,并且安全交付沒有終點,而是一個不斷改進和迭代的過程。

北京郵電大學(xué)張文博:術(shù)業(yè)有專攻——安全和開發(fā)很多時候處于“兩個次元”,工作思路差異較大,雙方溝通一定存在摩擦,因此共同完成安全開發(fā)工作就必須做到“寬容”。

“網(wǎng)安三人行”盤點:軟件供應(yīng)鏈安全的那些事兒

4??高校在軟件供應(yīng)鏈安全方面的研究成果如何轉(zhuǎn)化為解決問題的產(chǎn)品與能力?

北京郵電大學(xué)張文博:產(chǎn)學(xué)研轉(zhuǎn)化不止在軟件供應(yīng)鏈安全領(lǐng)域,在很多其它科技領(lǐng)域都存在。主要原因:國內(nèi)愿意在研發(fā)投入大量成本的企業(yè)比較有限;學(xué)術(shù)研究和企業(yè)的目標(biāo)側(cè)重點存在差異,企業(yè)更注重經(jīng)濟效益,很多時候是短期的回報,而從學(xué)術(shù)層面來說,能夠快速產(chǎn)生經(jīng)濟價值的研究并不一定存在很高的學(xué)術(shù)創(chuàng)新價值。實際解決只能逐步開展,當(dāng)前最實際的做法是與企業(yè)展開人才培養(yǎng)合作,共同為社會輸送更多高精尖人才。

貝殼安全李文鵬:當(dāng)前的產(chǎn)學(xué)研轉(zhuǎn)化問題可能與國家目前的發(fā)展階段有關(guān),但這個問題已經(jīng)引起極大的重視,從社會意識上來說已是很大的進步。

5??安全體系建設(shè)過程中,軟件供應(yīng)鏈安全應(yīng)當(dāng)扮演怎樣的角色?

貝殼安全李文鵬:隨著軟件規(guī)模的增長,軟件供應(yīng)鏈安全重要性日益突出,目前應(yīng)該處于一個轉(zhuǎn)型的連接點,但很難定義為一個具體的角色,它是軟件設(shè)計、需求評審、研發(fā)、上線全流程中必不可少的環(huán)節(jié),需要安全與業(yè)務(wù)共同合作。其中也包括SDL,貫穿軟件開發(fā)和運營全生命周期。從宏觀角度來說,軟件供應(yīng)鏈安全建設(shè)需要軟件工程學(xué)整個領(lǐng)域的轉(zhuǎn)型和突破。

北京郵電大學(xué)張文博:軟件供應(yīng)鏈至少包括開發(fā)、發(fā)布、使用等階段,涵蓋整個商業(yè)活動,其中的安全不可忽略;應(yīng)分階段地落實,同時也需要統(tǒng)一管理

默安科技沈錫鏞:軟件供應(yīng)鏈安全實際在整個安全體系建設(shè)中扮演融合的角色,例如完整的安全開發(fā)體系就是軟件供應(yīng)鏈安全的基底,包括全流程的設(shè)計安全、編碼階段的安全、測試階段的安全等等。


總結(jié)

從本次活動的討論內(nèi)容可以看出,軟件供應(yīng)鏈安全離不開SDL安全開發(fā)生命周期的全流程建設(shè)。默安科技是國內(nèi)開發(fā)安全和DevSecOps領(lǐng)域的先行者,在軟件供應(yīng)鏈安全領(lǐng)域有著豐厚經(jīng)驗和技術(shù)積累,此次與數(shù)世咨詢合作,邀請用戶、廠商、院校專家“把酒話網(wǎng)安”, 通過訪談的形式討論當(dāng)下最熱門安全話題之一——軟件供應(yīng)鏈安全,希望能給網(wǎng)安從業(yè)企業(yè)、關(guān)基行業(yè)單位帶來一些開展軟件供應(yīng)鏈安全治理工作的思路和建議。未來,默安科技將繼續(xù)為眾多合作伙伴輸出有價值的內(nèi)容,提供更安全有效的產(chǎn)品、方案與服務(wù)。文章來源地址http://www.zghlxwxcb.cn/news/detail-425260.html

到了這里,關(guān)于“網(wǎng)安三人行”盤點:軟件供應(yīng)鏈安全的那些事兒的文章就介紹完了。如果您還想了解更多內(nèi)容,請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實不符,請點擊違法舉報進行投訴反饋,一經(jīng)查實,立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費用

相關(guān)文章

  • 全球軟件供應(yīng)鏈安全指南和法規(guī)

    全球軟件供應(yīng)鏈安全指南和法規(guī)

    供應(yīng)鏈安全繼續(xù)在網(wǎng)絡(luò)安全領(lǐng)域受到重點關(guān)注,這是有充分理由的:SolarWinds、Log4j、Microsoft 和 Okta 軟件供應(yīng)鏈攻擊等事件繼續(xù)影響領(lǐng)先的專有軟件供應(yīng)商以及廣泛使用的開源軟件軟件組件。 這種擔(dān)憂是全球性的。隨著各國政府尋求降低軟件供應(yīng)鏈攻擊的風(fēng)險,世界各地的法

    2024年02月02日
    瀏覽(27)
  • 開發(fā)安全、軟件供應(yīng)鏈安全及開源軟件安全的概念差異

    開發(fā)安全、軟件供應(yīng)鏈安全和開源軟件安全是在軟件生命周期中不同階段涉及到的安全概念,它們有著一些共同點,同時也存在一些顯著的差異。以下是它們之間的比較總結(jié): 范圍 : 開發(fā)安全 :關(guān)注于整個軟件開發(fā)過程中的安全性,包括代碼編寫、測試、部署等環(huán)節(jié)。 軟

    2024年03月14日
    瀏覽(27)
  • SOFAStack軟件供應(yīng)鏈安全產(chǎn)品解析——SCA軟件成分分析

    SOFAStack軟件供應(yīng)鏈安全產(chǎn)品解析——SCA軟件成分分析

    近年來,軟件供應(yīng)鏈安全相關(guān)攻擊事件呈快速增長態(tài)勢,造成的危害也越來越嚴重,為了保障軟件供應(yīng)鏈安全,各行業(yè)主管單位也出臺了諸多政策及技術(shù)標(biāo)準。基于內(nèi)部多年的實踐,螞蟻數(shù)科金融級云原生PaaS平臺SOFAStack發(fā)布完整的軟件供應(yīng)鏈安全產(chǎn)品及解決方案,包括靜態(tài)代

    2024年02月04日
    瀏覽(27)
  • 軟件供應(yīng)鏈安全:尋找最薄弱的環(huán)節(jié)

    軟件供應(yīng)鏈安全:尋找最薄弱的環(huán)節(jié)

    在當(dāng)今的數(shù)字時代,軟件占據(jù)主導(dǎo)地位,成為全球組織業(yè)務(wù)和創(chuàng)新的支柱。它是差異化、項目效率、成本降低和競爭力背后的驅(qū)動力。軟件決定了企業(yè)如何運營、管理與客戶、員工和合作伙伴的關(guān)系,以及充分利用他們的數(shù)據(jù)。 挑戰(zhàn)在于,當(dāng)今的大多數(shù)軟件都不是從頭開始開

    2024年04月17日
    瀏覽(27)
  • 一文讀懂什么是軟件供應(yīng)鏈安全

    一文讀懂什么是軟件供應(yīng)鏈安全

    今天的大部分軟件并不是完全從頭進行開發(fā)設(shè)計的。相反,現(xiàn)在的開發(fā)人員頻繁的依賴一系列第三方組件來創(chuàng)建他們的應(yīng)用程序。通過使用預(yù)構(gòu)建的庫,開發(fā)人員不需要重新發(fā)明輪子。他們可以使用已經(jīng)存在的工具,花更多的時間在專有代碼上。這些工具有助于區(qū)分他們的軟

    2024年02月05日
    瀏覽(27)
  • Gartner發(fā)布降低軟件供應(yīng)鏈安全風(fēng)險指南

    Gartner發(fā)布降低軟件供應(yīng)鏈安全風(fēng)險指南

    軟件供應(yīng)鏈攻擊已呈三位數(shù)增長,但很少有組織采取措施評估這些復(fù)雜攻擊的風(fēng)險。這項研究提供了安全和風(fēng)險管理領(lǐng)導(dǎo)者可以用來檢測和預(yù)防攻擊并保護其組織的三種實踐。 主要發(fā)現(xiàn) 盡管軟件供應(yīng)鏈攻擊急劇增加,但安全評估并未作為供應(yīng)商風(fēng)險管理或采購活動的一部分

    2024年02月04日
    瀏覽(34)
  • 文獻閱讀筆記 # 開源軟件供應(yīng)鏈安全研究綜述

    文獻閱讀筆記 # 開源軟件供應(yīng)鏈安全研究綜述

    紀守領(lǐng),王琴應(yīng),陳安瑩,趙彬彬,葉童,張旭鴻,吳敬征,李昀,尹建偉,武延軍.開源軟件供應(yīng)鏈安全研究綜述.軟件學(xué)報. http://www.jos.org.cn/1000-9825/6717.htm 主要作者來自浙江大學(xué)、中科院軟件所、華為 資源: pdf 本文總結(jié)了開源軟件供應(yīng)鏈的關(guān)鍵環(huán)節(jié), 基于近10年的攻擊事件總結(jié)了開源軟

    2024年02月12日
    瀏覽(29)
  • 企業(yè)應(yīng)如何做好軟件供應(yīng)鏈安全管理?

    企業(yè)應(yīng)如何做好軟件供應(yīng)鏈安全管理?

    隨著軟件供應(yīng)鏈攻擊日益普遍,Gartner 將其列為2022 年的第二大威脅。Gartner 預(yù)測,到 2025 年,全球 45% 的組織將遭受一次或多次軟件供應(yīng)鏈攻擊,是2021年的3倍。這些攻擊一旦成功,將給企業(yè)帶來毀滅性打擊,因此如何做好軟件供應(yīng)鏈管理成為企業(yè)關(guān)注的重要課題。 目前國內(nèi)

    2024年02月16日
    瀏覽(27)
  • 信息安全-應(yīng)用安全-螞蟻集團軟件供應(yīng)鏈安全實踐

    信息安全-應(yīng)用安全-螞蟻集團軟件供應(yīng)鏈安全實踐

    8月10日,由懸鏡安全主辦、以“開源的力量”為主題的DSS 2023數(shù)字供應(yīng)鏈安全大會在北京·國家會議中心隆重召開。螞蟻集團網(wǎng)絡(luò)安全副總經(jīng)理程巖出席并發(fā)表了《螞蟻集團軟件供應(yīng)鏈安全實踐》主題演講。 圖1?螞蟻集團網(wǎng)絡(luò)安全副總經(jīng)理程巖發(fā)表主題演講 以下為演講實錄:

    2024年02月10日
    瀏覽(32)
  • 龍騰荊楚 | 軟件供應(yīng)鏈安全檢測中心落地襄陽

    龍騰荊楚 | 軟件供應(yīng)鏈安全檢測中心落地襄陽

    1月16日, 襄陽市東津新區(qū)“園區(qū)提質(zhì)、企業(yè)滿園”行動暨2024年東津云谷首月重大項目集中簽約活動圓滿完成 ,開源網(wǎng)安城市級項目再下一城,分別與襄陽市政府、高校、國投簽訂戰(zhàn)略合作協(xié)議,推動荊楚地區(qū)數(shù)字政府、數(shù)字經(jīng)濟、數(shù)字社會、數(shù)字生態(tài)協(xié)同高質(zhì)量發(fā)展。 襄陽

    2024年01月20日
    瀏覽(24)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包