首頁 > 洞察軟件供應(yīng)鏈安全痛點,打造全生命周期治理方案
開源技術(shù)蓬勃發(fā)展,已成為數(shù)字化轉(zhuǎn)型的核動力,為軟件賦能經(jīng)濟高質(zhì)量發(fā)展提供了基礎(chǔ)底座。高速的發(fā)展也帶來的巨大的安全隱患,主要體現(xiàn)在:開源軟件安全性無保障,漏洞多;漏洞具有“攻擊一點,傷及一片”問題;軟件存在知識產(chǎn)權(quán)風(fēng)險。黨的二十大報告中強調(diào)“著力提升產(chǎn)業(yè)鏈供應(yīng)鏈韌性和安全水平”,軟件供應(yīng)鏈安全風(fēng)險不但會直接影響關(guān)鍵基礎(chǔ)設(shè)施和數(shù)字經(jīng)濟安全,甚至?xí)䦟野踩a(chǎn)生威脅。
中移杭研針對開源軟件在企業(yè)內(nèi)“理不清”、“看不見”、“找不到”等現(xiàn)象,自研守望者·清源平臺,提供軟件物料清單(SBOM)分析、安全漏洞和開源許可等檢測功能。通過標(biāo)準(zhǔn)規(guī)范、源頭治理、過程治理、動態(tài)監(jiān)測等方法,探索出開源軟件從選型、使用、維護到退出的全生命周期治理實踐。
以科技創(chuàng)新為核心驅(qū)動力,以高質(zhì)量發(fā)展為首要任務(wù)
守望者·清源平臺提供軟件成分自動化識別、可視化的技術(shù)能力。實現(xiàn)對源碼和二進制包“一鍵式”的全量軟件成分分析,并以“最小元素”的形式輸出軟件成分全量樹。平臺以軟件物料清單為基礎(chǔ),首創(chuàng)軟件成分動態(tài)化監(jiān)測實踐,實現(xiàn)降本增效。首創(chuàng)軟件成分識別與安全檢測分離技術(shù),打通軟件物料清單上下游完整性驗證。利用開源軟件補丁定位技術(shù)提升補丁版本的準(zhǔn)確率。
守望者·清源平臺與行業(yè)的安全研發(fā)流程(DevSecOps/SDLC)能夠?qū)崿F(xiàn)無縫融合。通過“2+3+5”技術(shù)架構(gòu),實現(xiàn)安全6性目標(biāo),打造軟件供應(yīng)鏈治理流程化、標(biāo)準(zhǔn)化機制,樹立軟件供應(yīng)鏈安全治理實踐的行業(yè)標(biāo)桿。已建設(shè)豐富的安全漏洞庫,組件數(shù)量和漏洞數(shù)量在行業(yè)第一梯隊。
未來的軟件供應(yīng)鏈安全領(lǐng)域必將面臨著更加嚴(yán)峻的挑戰(zhàn)。中移杭研持續(xù)進行技術(shù)及制度創(chuàng)新,總結(jié)提煉平臺使用經(jīng)驗,配合社區(qū)推進相關(guān)標(biāo)準(zhǔn)規(guī)范制定和完善,豐富更新“軟件物料清單實踐指南”,推進軟件供應(yīng)鏈上下游共建積極防御體系,推動網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展!
