2022年伊始，默安科技聯(lián)合數(shù)世咨詢舉辦以“軟件供應(yīng)鏈安全的時與勢”為主題的訪談活動，由數(shù)世咨詢創(chuàng)始人李少鵬主持，邀請貝殼安全研發(fā)負責(zé)人李文鵬、北京郵電大學(xué)副教授張文博、默安科技副總裁沈錫鏞三位行業(yè)大咖做客網(wǎng)安小酒館，從產(chǎn)業(yè)、企業(yè)、學(xué)術(shù)的不同維度，共同探討軟件供應(yīng)鏈安全建設(shè)的新思路，為業(yè)界呈現(xiàn)了一場開年網(wǎng)安盛宴。

隨著全球軟件供應(yīng)鏈安全事件頻發(fā)，軟件供應(yīng)鏈安全逐漸成為業(yè)界關(guān)注焦點，也成為影響國家重要信息系統(tǒng)安全與關(guān)鍵信息基礎(chǔ)設(shè)施安全的重要因素，以及網(wǎng)絡(luò)安全保障體系和能力建設(shè)的重要環(huán)節(jié)。嘉賓們圍繞軟件供應(yīng)鏈安全發(fā)展的主要驅(qū)動力、關(guān)基行業(yè)中的實施現(xiàn)狀和落地難點、產(chǎn)學(xué)研成果轉(zhuǎn)化、軟件供應(yīng)鏈安全的重要性等話題展開激烈討論。

1??軟件供應(yīng)鏈安全發(fā)展的主要驅(qū)動力是什么？

北京郵電大學(xué)張文博：從宏觀角度來看，隨著數(shù)字經(jīng)濟不斷發(fā)展、人們?nèi)粘Ｉ铍x不開各類軟件和APP、個人隱私保護等需求推動著軟件供應(yīng)鏈安全的發(fā)展。客戶需求是軟件供應(yīng)鏈安全發(fā)展的根源，即使需要滿足法律法規(guī)與相關(guān)行業(yè)規(guī)范，規(guī)范誕生的源頭仍然是需求

默安科技沈錫鏞：從SolarWinds供應(yīng)鏈攻擊事件可以看出，針對軟件供應(yīng)鏈的高級攻擊愈演愈烈，安全事件是驅(qū)動這個細分領(lǐng)域發(fā)展的重要因素；其次，從合規(guī)的角度來說，由于軟件供應(yīng)鏈安全的行業(yè)屬性過強，制定通用標(biāo)準難度較大，軟件供應(yīng)鏈安全的發(fā)展仍然以自發(fā)需求為主。

貝殼安全李文鵬：軟件供應(yīng)鏈安全多為自身安全需求驅(qū)動，在物聯(lián)網(wǎng)、云計算等技術(shù)發(fā)展過程中不可避免地出現(xiàn)大量財產(chǎn)、個人隱私、商業(yè)秘密泄露等問題。同時軟件供應(yīng)鏈條越長越復(fù)雜，安全問題越突出。

?2??關(guān)鍵信息基礎(chǔ)設(shè)施等行業(yè)在軟件供應(yīng)鏈安全方面的現(xiàn)狀如何？面臨哪些問題？

貝殼安全李文鵬：從企業(yè)角度來說，主要面臨兩大痛點。第一，隨著軟件工業(yè)化和軟件規(guī)模的不斷發(fā)展，安全風(fēng)險和軟件膨脹成正比，如何有序管理復(fù)雜的軟件供應(yīng)鏈成為企業(yè)關(guān)心的話題。企業(yè)內(nèi)部有多少應(yīng)用、基礎(chǔ)設(shè)施、關(guān)鍵組件不得而知。軟件資產(chǎn)與供應(yīng)鏈的梳理難度大是主要痛點之一。第二，從技術(shù)角度來看，市場上不缺軟件供應(yīng)鏈安全治理工具，但各個用戶都有自己的軟件管理流程、CI/CD流程，如何將工具與用戶現(xiàn)有流程有機融合，實現(xiàn)效能最大化，是目前面臨的重要挑戰(zhàn)。

默安科技沈錫鏞：之前接觸的關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)用戶，如證券、互聯(lián)網(wǎng)、電力等，都提到了與貝殼同樣的共性問題。此外，組織內(nèi)部的部門割裂也是比較嚴重的問題。在研發(fā)側(cè)加強對軟件供應(yīng)鏈安全的重視程度十分重要。無論采用哪種開發(fā)模式，都應(yīng)制定安全開發(fā)機制，加入第三方組件等供應(yīng)鏈資產(chǎn)的梳理，或?qū)踩谌胄枨蠓治鲭A段（例如有些架構(gòu)漏洞無法修復(fù)，則用高可用架構(gòu)替換）?？偨Y(jié)來說，三個觀點：軟件供應(yīng)鏈“底賬”摸不清楚，后患無窮；應(yīng)提高研發(fā)部門對安全的重視程度；軟件供應(yīng)鏈最先落地的可能不是互聯(lián)網(wǎng)行業(yè)，而是數(shù)據(jù)密度大、供應(yīng)鏈非常長的工業(yè)企業(yè)等。

數(shù)世咨詢李少鵬：關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)軟件供應(yīng)鏈中的組件可能應(yīng)用并不廣泛，但安全事件帶來的負面影響不可小覷。在當(dāng)前“離散制造”的大環(huán)境下，軟件供應(yīng)鏈安全的重要性會越來越突出。

?北京郵電大學(xué)張文博：關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)還面臨非常嚴峻的合規(guī)性問題。互聯(lián)網(wǎng)出現(xiàn)的初始目的是為防止“核打擊”，即使在受到攻擊的情況下也需要保證政府機構(gòu)正常運作。因此互聯(lián)網(wǎng)的根源實際是關(guān)鍵基礎(chǔ)設(shè)施。隨著互聯(lián)網(wǎng)的發(fā)展，相關(guān)法律規(guī)范也不斷完善。例如中央網(wǎng)絡(luò)安全和信息化委員會于2021年12月印發(fā)的《“十四五”國家信息化規(guī)劃》，就從政策角度指出安全與發(fā)展雙輪驅(qū)動的要求。

3??軟件供應(yīng)鏈安全治理的落地會遇到哪些問題？

貝殼安全李文鵬：有些單位會嚴格管控所有供應(yīng)鏈和第三方組件引入流程，但這類純管理方式導(dǎo)致研發(fā)效率低，同時審核人與實際業(yè)務(wù)形態(tài)脫離，實際安全管控效果不夠理想。目前常見的做法是注重安全事件的緩解，容忍某些單點突破，但需通過縱深防御機制，防止攻擊鏈和影響范圍的不斷擴大，避免全面失守。但目前軟件供應(yīng)鏈安全治理落地仍然存在很大的提升空間，可能需要學(xué)術(shù)界和廠商側(cè)共研一些解決方案。?

默安科技沈錫鏞：這個問題的本質(zhì)可以理解為安全左移到什么程度。比如在架構(gòu)評審即融入安全非常重要，安全與研發(fā)部門深入合作、共同面對和解決問題。安全左移是安全與研發(fā)的責(zé)任共擔(dān)，而非將安全責(zé)任轉(zhuǎn)移到研發(fā)部門。因此開發(fā)安全體系的一大特點應(yīng)該是“陪伴式交付”，并且安全交付沒有終點，而是一個不斷改進和迭代的過程。

北京郵電大學(xué)張文博：術(shù)業(yè)有專攻——安全和開發(fā)很多時候處于“兩個次元”，工作思路差異較大，雙方溝通一定存在摩擦，因此共同完成安全開發(fā)工作就必須做到“寬容”。

4??高校在軟件供應(yīng)鏈安全方面的研究成果如何轉(zhuǎn)化為解決問題的產(chǎn)品與能力？

北京郵電大學(xué)張文博：產(chǎn)學(xué)研轉(zhuǎn)化不止在軟件供應(yīng)鏈安全領(lǐng)域，在很多其它科技領(lǐng)域都存在。主要原因：國內(nèi)愿意在研發(fā)投入大量成本的企業(yè)比較有限；學(xué)術(shù)研究和企業(yè)的目標(biāo)側(cè)重點存在差異，企業(yè)更注重經(jīng)濟效益，很多時候是短期的回報，而從學(xué)術(shù)層面來說，能夠快速產(chǎn)生經(jīng)濟價值的研究并不一定存在很高的學(xué)術(shù)創(chuàng)新價值。實際解決只能逐步開展，當(dāng)前最實際的做法是與企業(yè)展開人才培養(yǎng)合作，共同為社會輸送更多高精尖人才。

貝殼安全李文鵬：當(dāng)前的產(chǎn)學(xué)研轉(zhuǎn)化問題可能與國家目前的發(fā)展階段有關(guān)，但這個問題已經(jīng)引起極大的重視，從社會意識上來說已是很大的進步。

5??安全體系建設(shè)過程中，軟件供應(yīng)鏈安全應(yīng)當(dāng)扮演怎樣的角色？

貝殼安全李文鵬：隨著軟件規(guī)模的增長，軟件供應(yīng)鏈安全重要性日益突出，目前應(yīng)該處于一個轉(zhuǎn)型的連接點，但很難定義為一個具體的角色，它是軟件設(shè)計、需求評審、研發(fā)、上線全流程中必不可少的環(huán)節(jié)，需要安全與業(yè)務(wù)共同合作。其中也包括SDL，貫穿軟件開發(fā)和運營全生命周期。從宏觀角度來說，軟件供應(yīng)鏈安全建設(shè)需要軟件工程學(xué)整個領(lǐng)域的轉(zhuǎn)型和突破。

北京郵電大學(xué)張文博：軟件供應(yīng)鏈至少包括開發(fā)、發(fā)布、使用等階段，涵蓋整個商業(yè)活動，其中的安全不可忽略；應(yīng)分階段地落實，同時也需要統(tǒng)一管理。

默安科技沈錫鏞：軟件供應(yīng)鏈安全實際在整個安全體系建設(shè)中扮演融合的角色，例如完整的安全開發(fā)體系就是軟件供應(yīng)鏈安全的基底，包括全流程的設(shè)計安全、編碼階段的安全、測試階段的安全等等。

總結(jié)

從本次活動的討論內(nèi)容可以看出，軟件供應(yīng)鏈安全離不開SDL安全開發(fā)生命周期的全流程建設(shè)。默安科技是國內(nèi)開發(fā)安全和DevSecOps領(lǐng)域的先行者，在軟件供應(yīng)鏈安全領(lǐng)域有著豐厚經(jīng)驗和技術(shù)積累，此次與數(shù)世咨詢合作，邀請用戶、廠商、院校專家“把酒話網(wǎng)安”， 通過訪談的形式討論當(dāng)下最熱門安全話題之一——軟件供應(yīng)鏈安全，希望能給網(wǎng)安從業(yè)企業(yè)、關(guān)基行業(yè)單位帶來一些開展軟件供應(yīng)鏈安全治理工作的思路和建議。未來，默安科技將繼續(xù)為眾多合作伙伴輸出有價值的內(nèi)容，提供更安全有效的產(chǎn)品、方案與服務(wù)。文章來源地址http://www.zghlxwxcb.cn/news/detail-425260.html

到了這里，關(guān)于“網(wǎng)安三人行”盤點：軟件供應(yīng)鏈安全的那些事兒的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！