开放下载丨悬镜安全携手中国信通院发布《软件供应链安全白皮书(2021)》
引言
《软件供应链安全白皮书(2021)》着重分析了软件供应链安全,梳理了软件供应链的安全现状,透过现状全面剖析软件供应链的安全风险及面临的安全挑战,有针对性的提出如何对软件供应链的安全风险进行防范与治理,系统阐述了软件供应链安全的防护体系及软件供应链安全的应用实践以供参考。
正文
2021年7月21日,中国首届DevSecOps敏捷安全大会(DSO 2021)在北京成功举办,由中国信通院与悬镜安全联合编撰的《软件供应链安全白皮书(2021)》(以下简称“白皮书”)于会议现场发布,中国信通院云大所副所长栗蔚与悬镜安全创始人兼CEO子芽共同启动白皮书发布仪式。
图:《软件供应链安全白皮书(2021)》发布
悬镜安全创始人兼CEO子芽针对当前发展趋势,就如何开展全方位的软件供应链安全检测防御方法和技术研究提出四点建议:
第一,开展软件成分动态分析及开源应用缺陷智能检测技术研究,突破高效高准确性的开源应用安全缺陷动态检测技术的瓶颈,解决基于全代码遍历和代码片段级克隆技术比对的应用安全检测难题,进一步实现对全球开源应用的全面安全检测,从源头堵住软件供应链安全隐患。
第二,建立全球开源应用的传播态势感知和预警机制,攻克软件供应链中软件来源多态追踪技术,实现对供应链各环节中软件来源的溯源机制。通过软件来源多态追踪技术监控开源应用的使用传播和分布部署态势,全面把握有缺陷的开源应用传播和使用渠道,实现对全球开源应用及其安全缺陷的预测预警。
第三,建立国家级/行业级软件供应链安全监测与管控平台,具备系统化、规模化的软件源代码缺陷和异常行为代码分析、软件漏洞分析、开源软件成分及风险分析等关键能力,为关键基础设施、重要信息系统用户提供日常的自查服务,及时发现和处置软件供应链安全风险。
第四,严格管控软件供应链上游,尤其重点管控开源应用的使用,积极推动区块链等新技术在软件供应链安全领域的推广和应用,利用区块链的安全可信机制,从根本上提供软件供应链安全的可靠保障。
图:《软件供应链安全白皮书(2021)》目录
软件供应链风险分析
在此部分内容中,白皮书基于国内软件供应链风险现状,对导致安全风险的主要因素进行归类整理,逐一讲解了软件生命周期中四个主要阶段的安全风险。原创性地根据漏洞来源和漏洞状态两大类别,对当前存在的软件供应链漏洞进行分析。此外,本章节还汇总了软件供应链的五种攻击类型,分别列举了近年来发生的典型软件供应链安全事件并进行分析。
图:软件供应链漏洞类型
软件供应链安全治理方法
目前,业界已充分认识到造成网络安全事件的主要原因之一是由于软件开发者在开发过程中对开发工具、 开发团队、开发生命周期和软件产品自身管理不当,致使软件存在着安全缺陷,破坏或影响最终用户的信息安全。白皮书分别从体系构建、设计、编码和发布运营四个阶段进行分析。首次公开了在软件生命周期的设计阶段,软件供应商风险管理流程与评估模型,同时重点强调了在编码阶段SBOM(软件物料清单)对缺陷管理的重要作用。
图:软件供应商评估模型
结语
作为白皮书的出品人,子芽对软件供应链安全发展做出展望:“软件随着AI和自动化恶意攻击技术不断升级,专门针对软件供应链的攻击趋势明显加强,软件供应链已经成为网络空间攻防对抗的焦点,直接影响关键基础设施和数字经济安全,这也是为何中国第一届“DevSecOps 敏捷安全大会”(DSO 2021)的主题被定为“安全从供应链开始”的主要原因。此外,如何从技术创新的角度,为产业搭建一个汇集“国家、行业、机构、企业“等综合力量且“同向、同心”的软件供应链安全保障生态体系变得愈发重要。”
《软件供应链安全白皮书(2021)》现已开放下载,扫描下方二维码,或关注DevSecOps敏捷安全大会(微信ID:DSOCon)获取完整版白皮书。
关于悬镜安全
悬镜安全,DevSecOps 敏捷安全领导者。由北京大学网络安全技术研究团队“XMIRROR”发起创立,致力以 AI 技术赋能敏捷安全,专注于 DevSecOps 软件供应链持续威胁一体化检测防御。核心的 DevSecOps 智适应 威胁管理解决方案包括以深度学习技术为核心的威胁建模、开源治理、风险发现、威胁模拟、检测响应等多个 维度的自主创新产品及实战攻防对抗为特色的政企安全服务,为金融、电信、政务、能源、教育等行业用户提 供创新灵活的智适应安全管家解决方案。更多信息请访问悬镜安全官网:www.xmirror.cn。
关于中国信息通信研究院
中国信息通信研究院(以下简称“中国信通院”)始建于 1957 年,是工业和信息化部直属科研事业单位。多 年来,中国信通院始终秉持“国家高端专业智库 产业创新发展平台”的发展定位和“厚德实学 兴业致远”的 核心文化价值理念,在行业发展的重大战略、规划、政策、标准和测试认证等方面发挥了有力支撑作用,为我 国通信业跨越式发展和信息技术产业创新壮大起到了重要推动作用。更多信息请访问中国信通院官网:www.caict.ac.cn/。
开放下载丨悬镜安全携手中国信通院发布《软件供应链安全白皮书(2021)》相关推荐
- 中国信通院发布《大数据白皮书(2019年)》(附PPT解读及下载链接)
本文PPT转载自公众号:中国信通院CAICT 当前,全球大数据正进入加速发展时期,技术产业与应用创新不断迈向新高度.大数据通过数字化丰富要素供给,通过网络化扩大组织边界,通过智能化提升产出效能,不仅是 ...
- 中国信通院发布《数据中心白皮书(2022年)》
来源 | 中国信息通信研究院 导读 以数字技术为核心驱动的第四次工业革命正在给人类生产生活带来深刻变革,数据中心作为承载各类数字技术应用的物理底座,其产业赋能价值正在逐步凸显. 数字经济时代,算力正在 ...
- 中国信通院:5G无人机应用白皮书
https://baijiahao.baidu.com/s?id=1639929889923370907&wfr=spider&for=pc 4G:天线向下分布,影响无人机的工作范围 ...
- 中国信通院发布《数据库发展研究报告(2021年)》(附报告和解读PPT下载)
2021年6月24日,由中国信息通信研究院(以下简称"中国信通院")主办的"2021大数据产业峰会·成果发布会"在京召开.会上,中国信通院云计算与大数据研究所副 ...
- 重磅丨中国信通院发布ICT深度观察十大趋势
近日,在"2021中国信通院ICT深度观察报告会"上,中国信息通信研究院副院长余晓晖发布ICT深度观察十大趋势. 趋势一 数字经济融合创新,助力经济体系优化升级 党的"十 ...
- 新闻丨智链ChainNova成为中国信通院可信区块链联盟副理事长单位
2018年4月9日下午,由中国信息通信研究院(以下简称"中国信通院")牵头组织的可信区块链联盟正式召开成立大会.中国信通院副院长王志勤当选理事长.中国信通院云计算与大数据研究所所长 ...
- 容联云携手中国信通院,开启办公即时通信软件系列标准研制
近日,中国信通院"铸基计划-办公即时通信软件系列标准研制"正式启动.中国信通院牵头制定了<办公即时通信软件安全要求和测试方法>标准架构,容联云作为标准起草单位之一,出席 ...
- 中国信通院发布《区块链基础设施研究报告(2021年)》
来源:中国信息通信研究院本文约1800字,建议阅读5分钟 本文介绍了<区块链基础设施研究报告(2021年)>的主要内容. 2021年7月13日,由中国互联网协会主办,中国信息通信研究院(以 ...
- 火山引擎联合中国信通院发布《边缘云总体技术与测试要求》
近期,由火山引擎与中国信通院联合牵头,天翼云.中国联通参与制定的< 边缘云总体技术与测试要求>标准正式发布.该标准从加快边缘计算多样化场景落地的角度,提出了可参考的边缘云统一架构及相关技术 ...
最新文章
- Cocoa之NSWindow常用总结
- rust营火为什么放不下去_从一个研发质量案例看,5why分析法,为什么分析不下去了?...
- Python-Matplotlib绘制简单图像
- 「 每日一练,快乐水题 」917. 仅仅反转字母
- linux大容量硬盘 克隆到小硬盘_Linux添加新硬盘的挂载方法
- JUnit 3一个例子就懂
- ML.NET 示例:对象检测-ASP.NET Core Web和WPF桌面示例
- Linux平台上SQLite数据库教程(二)——C语言API介绍
- 花旗linux 内核 如何调试,揭秘首个运行在Linux平台的核心银行系统
- 解决windows下使用pycharm的anaconda安装numpy或tensorflow不成功的问题
- maven setting 设置jdk版本
- 检索 COM 类工厂中 CLSID 为 {000209FF-0000-0000-C000-000000000046} 的组件失败,原因是出现以下错误: 8000401a 因为配置标识不正确
- 计算机各种办公软件都很卡,电脑中打开office2016办公软件很卡的解决方法
- 山东理工——1019
- arduino等开源平台
- Spark面试近300题初始版本
- aka鉴权 ims_宋月:IMS鉴权过程中各参数的用途
- JavaFX: Alert 弹窗
- Could not locate executable null\bin\winutils.exe in the Hadoop binaries.
- ITV常见故障错误代码(中兴平台)