2022年伊始,默安科技聯(lián)合數(shù)世咨詢舉辦以“軟件供應(yīng)鏈安全的時與勢”為主題的訪談活動,由數(shù)世咨詢創(chuàng)始人李少鵬主持,邀請貝殼安全研發(fā)負責(zé)人李文鵬、北京郵電大學(xué)副教授張文博、默安科技副總裁沈錫鏞三位行業(yè)大咖做客網(wǎng)安小酒館,從產(chǎn)業(yè)、企業(yè)、學(xué)術(shù)的不同維度,共同探討軟件供應(yīng)鏈安全建設(shè)的新思路,為業(yè)界呈現(xiàn)了一場開年網(wǎng)安盛宴。
隨著全球軟件供應(yīng)鏈安全事件頻發(fā),軟件供應(yīng)鏈安全逐漸成為業(yè)界關(guān)注焦點,也成為影響國家重要信息系統(tǒng)安全與關(guān)鍵信息基礎(chǔ)設(shè)施安全的重要因素,以及網(wǎng)絡(luò)安全保障體系和能力建設(shè)的重要環(huán)節(jié)。嘉賓們圍繞軟件供應(yīng)鏈安全發(fā)展的主要驅(qū)動力、關(guān)基行業(yè)中的實施現(xiàn)狀和落地難點、產(chǎn)學(xué)研成果轉(zhuǎn)化、軟件供應(yīng)鏈安全的重要性等話題展開激烈討論。
1??軟件供應(yīng)鏈安全發(fā)展的主要驅(qū)動力是什么?
北京郵電大學(xué)張文博:從宏觀角度來看,隨著數(shù)字經(jīng)濟不斷發(fā)展、人們?nèi)粘I铍x不開各類軟件和APP、個人隱私保護等需求推動著軟件供應(yīng)鏈安全的發(fā)展。客戶需求是軟件供應(yīng)鏈安全發(fā)展的根源,即使需要滿足法律法規(guī)與相關(guān)行業(yè)規(guī)范,規(guī)范誕生的源頭仍然是需求
默安科技沈錫鏞:從SolarWinds供應(yīng)鏈攻擊事件可以看出,針對軟件供應(yīng)鏈的高級攻擊愈演愈烈,安全事件是驅(qū)動這個細分領(lǐng)域發(fā)展的重要因素;其次,從合規(guī)的角度來說,由于軟件供應(yīng)鏈安全的行業(yè)屬性過強,制定通用標(biāo)準難度較大,軟件供應(yīng)鏈安全的發(fā)展仍然以自發(fā)需求為主。
貝殼安全李文鵬:軟件供應(yīng)鏈安全多為自身安全需求驅(qū)動,在物聯(lián)網(wǎng)、云計算等技術(shù)發(fā)展過程中不可避免地出現(xiàn)大量財產(chǎn)、個人隱私、商業(yè)秘密泄露等問題。同時軟件供應(yīng)鏈條越長越復(fù)雜,安全問題越突出。
?2??關(guān)鍵信息基礎(chǔ)設(shè)施等行業(yè)在軟件供應(yīng)鏈安全方面的現(xiàn)狀如何?面臨哪些問題?
貝殼安全李文鵬:從企業(yè)角度來說,主要面臨兩大痛點。第一,隨著軟件工業(yè)化和軟件規(guī)模的不斷發(fā)展,安全風(fēng)險和軟件膨脹成正比,如何有序管理復(fù)雜的軟件供應(yīng)鏈成為企業(yè)關(guān)心的話題。企業(yè)內(nèi)部有多少應(yīng)用、基礎(chǔ)設(shè)施、關(guān)鍵組件不得而知。軟件資產(chǎn)與供應(yīng)鏈的梳理難度大是主要痛點之一。第二,從技術(shù)角度來看,市場上不缺軟件供應(yīng)鏈安全治理工具,但各個用戶都有自己的軟件管理流程、CI/CD流程,如何將工具與用戶現(xiàn)有流程有機融合,實現(xiàn)效能最大化,是目前面臨的重要挑戰(zhàn)。
默安科技沈錫鏞:之前接觸的關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)用戶,如證券、互聯(lián)網(wǎng)、電力等,都提到了與貝殼同樣的共性問題。此外,組織內(nèi)部的部門割裂也是比較嚴重的問題。在研發(fā)側(cè)加強對軟件供應(yīng)鏈安全的重視程度十分重要。無論采用哪種開發(fā)模式,都應(yīng)制定安全開發(fā)機制,加入第三方組件等供應(yīng)鏈資產(chǎn)的梳理,或?qū)踩谌胄枨蠓治鲭A段(例如有些架構(gòu)漏洞無法修復(fù),則用高可用架構(gòu)替換)??偨Y(jié)來說,三個觀點:軟件供應(yīng)鏈“底賬”摸不清楚,后患無窮;應(yīng)提高研發(fā)部門對安全的重視程度;軟件供應(yīng)鏈最先落地的可能不是互聯(lián)網(wǎng)行業(yè),而是數(shù)據(jù)密度大、供應(yīng)鏈非常長的工業(yè)企業(yè)等。
數(shù)世咨詢李少鵬:關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)軟件供應(yīng)鏈中的組件可能應(yīng)用并不廣泛,但安全事件帶來的負面影響不可小覷。在當(dāng)前“離散制造”的大環(huán)境下,軟件供應(yīng)鏈安全的重要性會越來越突出。
?北京郵電大學(xué)張文博:關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)還面臨非常嚴峻的合規(guī)性問題。互聯(lián)網(wǎng)出現(xiàn)的初始目的是為防止“核打擊”,即使在受到攻擊的情況下也需要保證政府機構(gòu)正常運作。因此互聯(lián)網(wǎng)的根源實際是關(guān)鍵基礎(chǔ)設(shè)施。隨著互聯(lián)網(wǎng)的發(fā)展,相關(guān)法律規(guī)范也不斷完善。例如中央網(wǎng)絡(luò)安全和信息化委員會于2021年12月印發(fā)的《“十四五”國家信息化規(guī)劃》,就從政策角度指出安全與發(fā)展雙輪驅(qū)動的要求。
3??軟件供應(yīng)鏈安全治理的落地會遇到哪些問題?
貝殼安全李文鵬:有些單位會嚴格管控所有供應(yīng)鏈和第三方組件引入流程,但這類純管理方式導(dǎo)致研發(fā)效率低,同時審核人與實際業(yè)務(wù)形態(tài)脫離,實際安全管控效果不夠理想。目前常見的做法是注重安全事件的緩解,容忍某些單點突破,但需通過縱深防御機制,防止攻擊鏈和影響范圍的不斷擴大,避免全面失守。但目前軟件供應(yīng)鏈安全治理落地仍然存在很大的提升空間,可能需要學(xué)術(shù)界和廠商側(cè)共研一些解決方案。?
默安科技沈錫鏞:這個問題的本質(zhì)可以理解為安全左移到什么程度。比如在架構(gòu)評審即融入安全非常重要,安全與研發(fā)部門深入合作、共同面對和解決問題。安全左移是安全與研發(fā)的責(zé)任共擔(dān),而非將安全責(zé)任轉(zhuǎn)移到研發(fā)部門。因此開發(fā)安全體系的一大特點應(yīng)該是“陪伴式交付”,并且安全交付沒有終點,而是一個不斷改進和迭代的過程。
北京郵電大學(xué)張文博:術(shù)業(yè)有專攻——安全和開發(fā)很多時候處于“兩個次元”,工作思路差異較大,雙方溝通一定存在摩擦,因此共同完成安全開發(fā)工作就必須做到“寬容”。
4??高校在軟件供應(yīng)鏈安全方面的研究成果如何轉(zhuǎn)化為解決問題的產(chǎn)品與能力?
北京郵電大學(xué)張文博:產(chǎn)學(xué)研轉(zhuǎn)化不止在軟件供應(yīng)鏈安全領(lǐng)域,在很多其它科技領(lǐng)域都存在。主要原因:國內(nèi)愿意在研發(fā)投入大量成本的企業(yè)比較有限;學(xué)術(shù)研究和企業(yè)的目標(biāo)側(cè)重點存在差異,企業(yè)更注重經(jīng)濟效益,很多時候是短期的回報,而從學(xué)術(shù)層面來說,能夠快速產(chǎn)生經(jīng)濟價值的研究并不一定存在很高的學(xué)術(shù)創(chuàng)新價值。實際解決只能逐步開展,當(dāng)前最實際的做法是與企業(yè)展開人才培養(yǎng)合作,共同為社會輸送更多高精尖人才。
貝殼安全李文鵬:當(dāng)前的產(chǎn)學(xué)研轉(zhuǎn)化問題可能與國家目前的發(fā)展階段有關(guān),但這個問題已經(jīng)引起極大的重視,從社會意識上來說已是很大的進步。
5??安全體系建設(shè)過程中,軟件供應(yīng)鏈安全應(yīng)當(dāng)扮演怎樣的角色?
貝殼安全李文鵬:隨著軟件規(guī)模的增長,軟件供應(yīng)鏈安全重要性日益突出,目前應(yīng)該處于一個轉(zhuǎn)型的連接點,但很難定義為一個具體的角色,它是軟件設(shè)計、需求評審、研發(fā)、上線全流程中必不可少的環(huán)節(jié),需要安全與業(yè)務(wù)共同合作。其中也包括SDL,貫穿軟件開發(fā)和運營全生命周期。從宏觀角度來說,軟件供應(yīng)鏈安全建設(shè)需要軟件工程學(xué)整個領(lǐng)域的轉(zhuǎn)型和突破。
北京郵電大學(xué)張文博:軟件供應(yīng)鏈至少包括開發(fā)、發(fā)布、使用等階段,涵蓋整個商業(yè)活動,其中的安全不可忽略;應(yīng)分階段地落實,同時也需要統(tǒng)一管理。
默安科技沈錫鏞:軟件供應(yīng)鏈安全實際在整個安全體系建設(shè)中扮演融合的角色,例如完整的安全開發(fā)體系就是軟件供應(yīng)鏈安全的基底,包括全流程的設(shè)計安全、編碼階段的安全、測試階段的安全等等。文章來源:http://www.zghlxwxcb.cn/news/detail-425260.html
總結(jié)
從本次活動的討論內(nèi)容可以看出,軟件供應(yīng)鏈安全離不開SDL安全開發(fā)生命周期的全流程建設(shè)。默安科技是國內(nèi)開發(fā)安全和DevSecOps領(lǐng)域的先行者,在軟件供應(yīng)鏈安全領(lǐng)域有著豐厚經(jīng)驗和技術(shù)積累,此次與數(shù)世咨詢合作,邀請用戶、廠商、院校專家“把酒話網(wǎng)安”, 通過訪談的形式討論當(dāng)下最熱門安全話題之一——軟件供應(yīng)鏈安全,希望能給網(wǎng)安從業(yè)企業(yè)、關(guān)基行業(yè)單位帶來一些開展軟件供應(yīng)鏈安全治理工作的思路和建議。未來,默安科技將繼續(xù)為眾多合作伙伴輸出有價值的內(nèi)容,提供更安全有效的產(chǎn)品、方案與服務(wù)。文章來源地址http://www.zghlxwxcb.cn/news/detail-425260.html
到了這里,關(guān)于“網(wǎng)安三人行”盤點:軟件供應(yīng)鏈安全的那些事兒的文章就介紹完了。如果您還想了解更多內(nèi)容,請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!