治理软件供应链安全要打“团体赛” 共同建立供应链安全体系
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
“治理软件供应链安全是系统化工程,需要各方一起努力。”6月2日,奇安信集团举办了“软件供应链安全报告发布暨专题研讨会”,邀请同济大学教授、国务院参事室特约研究员吴亮,中国开源软件推进联盟副秘书长宋可为,中国信息通信研究院研究员王榕,奇安信代码安全事业部总经理、代码安全实验室主任黄永刚等专家,从监管侧、供给侧、消费侧等不同层面,共同探讨如何打好软件供应链安全治理“团体赛”,来保障我国软件供应链安全。
技术与法规并重 需加快建立联合机制提升成果
中国开源软件推进联盟副秘书长宋可为指出,当前我国软件供应链安全面临三类隐患:第一类是技术漏洞风险,包括一些恶意代码植入等风险;第二类是法律维度风险,包括开源软件的开放许可协议所涉及的商标权、著作权等;第三类,则是合规层面,包括外国市场出口限制所带来的规则风险。他表示,“技术很重要,但也不能脱离于法律限制和行业规则因素独立存在。”
从全球的开源生态来看,已有了成熟的联合机制,不同体量的企业都可以有所贡献;而在国内,优秀的中国程序员在世界范围内的贡献排名遥遥领先,但企业贡献排名稍逊一筹。宋可为提出,国内各企业和部门,也需要形成良好的合作机制,来将科研成果最大化。希望在奇安信、华为、阿里等大企业打带领下,和法律界及科研院所,共同形成多维度、多角度的联合体。
中国信息通信研究院高级工程师王榕也举例说明了当前国际范围内各国部署的供应链安全相关政策举措:美国通过限制交易以保持自身竞争优势,英国通过反垄断来防止单一供应源所带来的风险,日韩和俄罗斯则通过提升自身安全实力来进行国产化产品和服务的替换。而我国目前在体系化政策法规架构方面,仍有较大差距。
软件供应链安全需安全行业联手 建立动态、长效机制
供应链安全风险是各个层面、各个环节、各个维度的。奇安信代码安全事业部总经理、代码安全实验室主任黄永刚指出,其最大的挑战就在于供应链的复杂性。首先,针对供应链各环节,需要有检测安全风险的能力;第二,供应链安全是动态的,需要持续监测,并配有安全运营机制。
当前,从软件供应链安全的角度来看,国内监管机构已陆续推出相关标准及政策,但针对关键基础设施和重要信息系统相关的企业和单位,并没有制定具体的举措和细则要求:比如针对关键基础设施和重要信息系统的单位,尚未制定针对软件供应链的具体标准和细则要求,以及为这些重要单位提供服务的软件供应商,也并未建立相应的认证体系确保供应链的安全。
黄永刚表示,“未来相当一段时间内,安全行业的从业者可能要面临的一个非常大的挑战,要去做更多的事情。”
《2021中国软件供应链安全分析报告》 首次深入解读各环节安全风险
本次研讨会上,奇安信发布了《2021年中国软件供应链安全分析报告》(简称:报告),首次对国内软件供应链各个环节的安全风险进行深入细致的研究解读。并推出面向软件供应链安全的整体解决方案,助力加强供应链安全建设。
同济大学教授、国务院参事室特约研究员吴亮表示,相对于传统供应链安全,软件供应链安全这一“非传统供应链”安全更加复杂。无论是其所涉及的系统性还是安全威胁的隐蔽性,供应链安全都是我国在当前国际环境下,必须面对的重要的、显性的、不可回避的问题。奇安信作为行业龙头企业,需要与其他企业、协会、研究院等共同携手,进一步深入研究软件供应链安全顶层设计面临的问题和解决方案。
与会专家认为, “在软件供应链领域实现‘高水平自强自立’,一方面要解决软件供应链的自主可控的问题,最终还是要解决安全可信问题。”通过本次在顶层设计、具体技术、产业政策等方面的讨论,为“团体赛”搭下了基本框架。
推荐阅读
在线阅读版:《2021中国软件供应链安全分析报告》全文
超8成项目存在高危开源漏洞 《2021中国软件供应链安全分析报告》发布
PHP Composer 新漏洞可引发大规模供应链攻击
详细分析PHP源代码后门事件及其供应链安全启示
题图:Pixabay License
转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
治理软件供应链安全要打“团体赛” 共同建立供应链安全体系相关推荐
- 绩效管理软件哪个好?企业如何建立绩效考核体系?
在企业管理中,绩效考核是每个公司都会存在的,也是企业管理的难点之一,不同行业所采用的绩效考核体系是不同的,合理的绩效考核体系才能促使企业与员工共同成长.但如何制定合理的绩效考核体系是一件有难度的事情, ...
- 企业数字治理软件如何帮助审计委员会?
审计委员会的有效性和成功取决于许多因素,其中一个就是透明度,这是股东信任和信心的关键.其次,该委员会必须由独立董事占多数并担任召集人,以促进会议和协作.最后,审计委员会必须在自己内部以及工作合作的部门 ...
- 【观察】不工软件牵手微软背后,以智慧协同供应链强化企业韧性和弹性
<高效协同:供应链和商业模式创新>一书中提出:"如今的竞争,不再是企业和企业的竞争,而是供应链和供应链之间的竞争."确实如此,今天企业供应链数字化和智能化转型,不仅可以 ...
- 为增强供应链安全,美国将设立“国家供应链完整性之月”
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一, ...
- 打破企业管理边界,数字化供应链管理系统助力企业建设数字化韧性供应链
随着企业间的竞争越来越大,供应链降本.提效的要求会越来越高.供应链是一个业务问题,更是管理问题,在疫情反复影响及市场竞争白热化的今天,企业对供应链数字化转型的态度有了明显转变,过去最大的障碍是对改变的 ...
- 家电供应链再遭新风险,SCM供应链管理系统加快业务流转提升企业内控水平
在疫情不断反复的影响下,刚刚进入复苏阶段的家电企业再次面临新一轮危机.2022年一季度,中国家电实现零售额1430亿元,同比下降11.1%:线上家电零售市场下降7.5%.海关数据显示,前两个月,家电产 ...
- DSP(TMSF280049C)学习笔记1:软件的安装与新工程的建立
DSP(TMSF280049C)学习笔记1:软件的安装与新工程的建立 初次接触DSP(TMSF280049C)这款开发板,主要对学习的过程进行记录,因为是初次学习,可能有些地方存在错误,还请各位大神帮 ...
- 【工控软件 博图(博途)Portal西门子】体系 概述 思维导图
[工控软件 博图(博途)Portal西门子]体系 概述 思维导图
- 家居建材供应链模式盘点,数商云供应链SCM系统助力企业做好采购计划管理
近几年,随着房地产精装交付以及家装消费行为的改变,家装行业呈现出三个趋势:家装服务提供整装化.消费者线上决策提前化.建材销售渠道2B化,带来的直接影响就是,终端零售店面自然客流锐减,装企获客成本激增. ...
最新文章
- Nginx从安装到高可用,一篇搞定!
- RxJava在闲鱼系统吞吐量提升上的实践
- 10年Linux老司机吐血整理的命令大全,拿去吧
- 内核同步机制-信号量(semaphore)
- yum php5.6源码,5.2 YUM升级PHP5.6
- 用windbg分析minidump
- 主站SOEM函数详解--SDO读写函数
- 小学生“快乐读书吧”具体要求以及推荐书目集
- 微服务超 10 万、跨语言场景,字节服务网格依靠 CloudWeGo 扛住流量洪峰
- 人工智能发展月报(2022年6月)
- c语言且或者是优先级,C语言笔试题
- 安卓下微信内置浏览器视频出现解析错误
- MIUI12或android11找不到QQ文件的问题
- 图像处理QPixmap、Picture、QBitmap
- 领跑AIoT场景落地 OFweek智慧家庭高峰论坛圆满落幕!
- 【AI人工智能绘画 CV】Towards Robust Blind Face Restoration with Codebook Lookup Transformer
- 编程萌新必看!初学C语言必会的知识点,你学废了吗?
- Mars3D(含Cesium)数据及服务篇:城市建筑物转为3DTiles白膜格式
- Java温故而知新-程序逻辑结构
- 震网三代漏洞复现(CVE-2017-8464)
热门文章
- python 读取excel 生成json 读取json
- 你对jstl了解多少----JSTL标签之函数(慎用)
- C#程序设计语言2.0简介
- Java 中nextLine()方法没有执行直接跳过解决办法
- Vue.js 判断对象属性是否存,不存在添加
- redis中multi和pipeline区别以及效率(推荐使用pipeline)
- 学习《Python核心编程》做一下知识点提要,方便复习(二)
- Git前世今生-版本控制软件的发展
- MapReduce:Simplified Data Processing on Large Clusters(中文翻译2)
- CSS之设置p段落中的文字与页面左侧缩进两个字符!...