绿盟科技发布白皮书:理清企业供应链依赖关系是确保软件供应链安全的关键
【TechWeb】7月18日消息,在由绿盟科技承办的“2022中国网络空间新型技术安全创新论坛-云安全分论坛”上,绿盟科技正式发布《软件供应链安全技术白皮书》。
白皮书指出,信息和通信技术(ICT)产业链承担着我国产业从工业化向数字化转型升级的重要任务,软件供应链作为ICT供应链的重要组成部分,是各类关键信息基础设施平稳运行的基础,其关键组件的设计、开发、部署、监控和持续运营等生命周期核心环节的安全可控,成为网络安全的关键考量因素。
在此次大会上,绿盟科技集团天元实验室高级研究员陈静发表演讲,她表示从近几年的软件供应链攻击事件来看,利用开源社区、公共开源存储仓库等开源软件生态入侵事件较为严重。因此需要从监管层面加强供应链产品安全认证管理,提供企业软件SBOM托管和可信认证服务,企业也需要完善供应链资产管理和安全检查,借助SBOM知识图谱理清企业供应链依赖关系,从而在监测到预警时能够从容应对。
同时,为应对软件供应链威胁,上游企业需要构建自身产品的软件成分清单来梳理软件供应链信息,向下游企业和用户清晰、透明的提供管理软件供应链所需要的基础条件。软件成分清单依据识别成分的粒度,可以分为不透明、微透明、半透明和透明几个阶段。透明程度高的软件成分清单,能显著提升最终用户进行软件供应链安全评估的准确性。
此外,陈静对企业供应链上下游关系做了进一步阐述,她表示,在软件开发生命周期中,开发阶段漏洞的引入不止在代码编写阶段,还有所依赖的开源组件、开发和构建工具等,依照软件的开发和构建过程,企业需要建设开发过程安全评估能力。在软件交付阶段,作为供应商,除保证交付软件安全外,也应将软件成分清单一并交付给下游企业,促使整个软件供应链的上下游都具备依据安全通报、威胁情报监控等第三方信息能够分析、评估软件供应链安全的基本条件。供应链软件产品交付运行后,供应商应在产品的生命周期内提供安全保障服务,对产品漏洞及时修复,最终用户也应根据供应商所提供的软件成分清单纳入企业资产管理范围,定期对资产进行安全评估,结合漏洞预警,对受影响的产品进行加固和修复。
在技术不断迭代与产业高速发展中,软件供应链逐渐形成了包含技术体系、多元产品组件及各路开发者、供应者与消费者为一体的庞大产业生态,软件供应链安全将直接影响关键基础设施和数字经济安全。作为中国可信安全生态建设的积极参与者,绿盟科技推出软件供应链技术安全白皮书,旨在从软件供应链安全威胁与国内外形势来梳理软件供应链中存在的安全问题,提炼出软件供应链安全治理的核心理念、技术框架、关键技术,并从供应链安全监管和控制方面给出解决方案和最佳实践,期望为读者带来全新的技术思考,助力我国软件产业发展。
您可能也感兴趣:
官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

想在手机上看科技资讯和科技八卦吗?
想第一时间看独家爆料和深度报道吗?
请关注TechWeb官方微信公众帐号:
1.用手机扫左侧二维码;
2.在添加朋友里,搜索关注TechWeb。
为您推荐
收购再遇阻?微软预计英国监管机构将反对其收购动视暴雪
戴尔宣布裁员5% 涉及到约6650人
新招员工比裁员多 特斯拉全职员工在去年年底增至12.78万人
“云层”消退 科技巨头面临更多收益压力 AI或成一线希望?
三星同意支付1.5亿美元 了结有关QLED电视显示专利侵权诉讼
博通CEO:690亿美元收购VMware后仍寻求更多收购交易
工信部:2022年互联网和相关服务业总收入达1.46万亿 同比下降1.1%
京东云技术支持央视元宵晚会云上之旅红包互动
比老司机更懂魔幻山城路况?重庆成春节期间使用毫末辅助驾驶用户最多城市
更多
- 日产发布1月中国区销量数据 同比下降64.4%
- 工信部:2022年互联网和相关服务业总收入达1.46万亿 同比下降1.1%
- 京东云技术支持央视元宵晚会云上之旅红包互动
- 比老司机更懂魔幻山城路况?重庆成春节期间使用毫末辅助驾驶用户最多城市
- 3D场求解器Cadence Quantus FS解决方案已通过三星SF4、SF3E和SF3工艺技术认证
- 腾讯成立职业技能培训学校 由腾讯教育科技公司全资持股
- 总投资53.1亿元 东风EV新能源将在襄阳建设乘用车基地
- 3月下旬上市 飞凡F7正式发布:最高续航666km,预售价28-35万元
- Gurman:苹果或在2024年推出比Pro Max款更高端的iPhone,采用无接口设计
- 人人视频遭奈飞、索尼、迪士尼等多家海外影视公司起诉