2月16日,在首届ICT软件供应链安全治理论坛上,奇安信集团总裁吴云坤就软件供应链的安全形势、安全治理、重要技术能力展开深入探讨,发表了《软件供应链安全保障能力建设》主题演讲。
软件供应链安全属于目前市场当中的新兴领域,无论是国际形势下的大国对抗,还是软件开发模式的变迁、自主可控软件的研发、以及供应链安全策略的构建都成为了驱动软件供应链安全发展的重要因素。
软件供应链安全事件频发,给不少企业和个人带来了巨大的损失。吴云坤总裁表示,结合去年国内攻防演习数据统计,可以发现,通过软件供应链安全漏洞渗透进整个系统的攻击数量不在少数,软件供应链已经成为防护短板,也是攻击者利用的重点之一。
软件供应链安全风险存在于应用系统的全生命周期,其中软件上线之前尤其严重,这会涉及数据部门和业务开发部门,在整个开发过程当中,安全工作通常难以渗透到这两个部门,尤其对企业机构来讲,业务上线的紧迫需求往往会迫使其降低整个安全方面的要求,再加上现在大量使用外包、第三方供应商等,软件供应链的安全问题或许会成为未来的一个重大爆发点。
软件供应链安全需要一个体系性的、全局性的设计,需要通过高层的组织来管理整个的软件供应链安全体系,以便达成良好的内部协作关系,此外,还要用流程制度方法来去解决问题,在此过程中,应用场景的择取以及支撑能力的建设都是极为重要的。
吴云坤总裁指出,软件供应链安全需要用系统工程方法体系化、全局性治理,从组织、流程制度、场景、能力四个层面出发,抓好以下四个关键点。
第一、要明确软件供应链安全管理。安全管理控制点的设计、辨识非常关键,要在不同阶段做好安全设计、建设和运行管理,力求覆盖软件的全生命周期。
第二、要完善软件供应链安全管理的组织建设。可以依托现有的信息安全管理架构,识别供应链涉及到的各企业的相关部门,进而通过强化职责压实主体责任,并在此过程引导全员参与。
第三、要健全软件供应链安全管理工作内容与制度建设。在进行产品、企业、隐患等清单的梳理制定工作时,会涉及到一些管理制度和技术方法,需要结合企业的实践去推行制定。
第四、要做好软件供应链安全的能力设计。
核心技术的设计非常关键,需要企业投入大量精力或者资金,可以自主创新,也可以直接外部采购,但一般企业通常缺乏这方面的能力。吴云坤总裁表示,软件供应链安全的技术能力建设必须涵盖开发生产、集成交付、使用运行各阶段,并指出了以下四项关键能力。
一是建设开发安全能力。安全的开发能力通常会完全融入到整个软件研发流程当中去,因为与研发过程脱离,安全与开发起冲突是常见的问题,所以在全链条中,这种安全开发能力应该是由不同能力的嵌入集合而成,同时也需要把某些工具拆解为能力,融入到整个软件开发生命周期过程中去,这对于自研的产品或软件非常关键。
二是建设开源安全能力。开源能否形成持续化的能力并与漏洞达成快速响应机制,需要结合整个的采购、开发过程,将分析能力作为重点去探究。
三是建设安全部署/运行能力。吴云坤总裁表示,信息通信软件供应链安全社区已经将这种持续化的能力融入到社区这个平台当中,使其成为了一个公共服务的能力。这种能力对于企业来讲极为关键,因为任何软件都对每一个组件元素具有依赖性,所以对整个软件的空间测绘极为重要,无论用动态或静态的手段,最后一定要拆解成为这个过程当中的可执行程序。
四是建设自动化渗透测试能力。强调自动化的原因很简单,因为渗透测试一般由人工完成,开发者多数时候是需要自动化的,采购者也希望能有一个环境协助自身快速去完成评估,具备这项能力可以为安全部门增添一些抓手,方便在渗透的前期做一些重要信息的收集、中期进行对目标漏洞的发现和利用、以及后期的横向渗透等。
最后,吴云坤总裁指出,软件供应链安全是一个系统化的工程,需要做全局性治理,并且在技术与管理的结合当中,应将管理制度的构建作为核心,对过程中涉及到关键核心技术能力,通过内部自主创新科创的技术,形成创新课题,并在此过程当中将能力建立到企业自身身上。
END
在“软件定义一切”的当今世界,人民生活、国家发展,各行各业与软件息息相关。但当前软件供应链安全问题对关键信息基础设施保护、数字产业高质量发展带来巨大挑战。在工业和信息化部网络安全管理局指导下,由六家企事业单位(中国信息通信研究院、中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国铁塔股份有限公司、奇安信科技集团股份有限公司)发起筹建的信息通信软件供应链安全社区应运而生。社区致力于软件供给过程的安全生态建设,为产业链、供应链各相关方等提供研讨、研发、协作、共治的平台。
