9月19日,2023软件供应链安全创新发展论坛在北京顺利召开。奇安信集团副总裁韩永刚出席本次论坛,并发表题为《构建核心关键能力,筑牢软件供应链安全底板》的主题演讲。
韩总提到,受当前网络安全对抗不断升级、开源组件广泛使用等因素影响,软件供应链安全形势变得越发严峻。作为供应链安全威胁中的两类典型代表,广泛性威胁和供应链攻击所引发的安全问题更是以波及范围广、修复周期长、损害程度深的特点而令业界担忧。
结合对国内软件供应链安全现状的调研分析,奇安信先前发布了2023中国软件供应链安全分析报告,其中也针对性的指出了几大关键发现,比如开源软件安全状况、开源项目维护者对安全问题的重视度等,无不凸显软件供应链安全治理所面临的复杂性问题。
韩总表示,供应链安全问题贯穿软件产品的全生命周期,安全基础和构建信任是确保产品安全性的关键所在,一定要综合考虑。着力维护软件产品安全工作时,可以围绕开发过程安全、开发环境安全等六大要点来开展。
韩总指出,基于SBOM的基础特性,借助VEX工具将其与软件风险进行关联后,能够直观地告知用户软件漏洞是否存在被利用风险,并可提供补救措施建议,在进一步提高SBOM价值的同时,也为构筑更强大的软件供应链安全防线提供了支撑。
接着,韩总通过介绍Google SLSA案例的核心思路和特色,为建立信任链、确保软件供应链的可信性提供了关键思路。
韩总指出,在信息通信软件供应链安全社区组织的“基于软件物料清单的软件供应链风险管理试点”项目中,奇安信积极参与,加速了产品技术研究及项目落地,理顺和解决了SBOM从采集到应用的一些难点。
韩总表示,在软件供应链安全方面,存在若干环节和阶段需要考虑,但介于每个组织和客户的需求都不尽相同,需要根据具体情况选择适当的解决方案和工具,以逐步构建可信的供应链,帮助用户提供更安全可靠的产品及服务。
随后,韩总又针对代码安全能力、软件空间测绘能力、感知与自主测试能力在保障软件供应链安全中发挥的重要作用进行了详细解析。并提出了奇安信通过将SBOM技术与自动化渗透进行适配、关联漏洞信息和威胁情报等元素的供应链安全解决方案。韩总表示,该解决方案也为将来更加完整的软件供应链安全检测打下基础。
最后,韩总对以SBOM为中心进行的软件供应链安全能力建设成果进行了简要总结。
END
在“软件定义一切”的当今世界,人民生活、国家发展,各行各业与软件息息相关。但当前软件供应链安全问题对关键信息基础设施保护、数字产业高质量发展带来巨大挑战。在工业和信息化部网络安全管理局指导下,由六家企事业单位(中国信息通信研究院、中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国铁塔股份有限公司、奇安信科技集团股份有限公司)发起筹建的信息通信软件供应链安全社区应运而生。社区致力于软件供给过程的安全生态建设,为产业链、供应链各相关方等提供研讨、研发、协作、共治的平台。
