ISC 2022互聯(lián)網(wǎng)安全大會軟件供應(yīng)鏈安全治理與運營論壇在ISC元宇宙N世界中舉辦,。作為本場分論壇的出品人,懸鏡安全與大會主辦方一同邀請來了多位軟件供應(yīng)鏈安全領(lǐng)域的安全專家,、業(yè)界領(lǐng)袖,、企業(yè)代表和技術(shù)精英,就各行業(yè)對軟件供應(yīng)鏈安全治理與運營理念的創(chuàng)新實踐進行分享與探討,。
近年來,,隨著企業(yè)數(shù)字化轉(zhuǎn)型進程的加快,軟件正成為社會運轉(zhuǎn)的基本組件,。但是開源主導(dǎo)的開發(fā)方式以及云原生的普及,,使得軟件供應(yīng)鏈安全愈演愈烈,威脅著全球各行各業(yè)的用戶,。
圍繞軟件供應(yīng)鏈安全相關(guān)話題,在論壇最后的圓桌環(huán)節(jié),,安全419創(chuàng)始人張毅作為圓桌主持人,,與來自信創(chuàng)、金融,、云計算等領(lǐng)域的多家龍頭企業(yè)技術(shù)負責(zé)人展開了圓桌對話,,邀請各位嘉賓分享了自身軟件供應(yīng)鏈安全建設(shè)實踐經(jīng)驗,并深入探討了軟件供應(yīng)鏈安全發(fā)展的新模式和新未來,。
企業(yè)應(yīng)如何落地軟件供應(yīng)鏈安全治理
和運營策略,?
近兩年來不斷爆發(fā)的SolarWinds和Log4j2等軟件供應(yīng)鏈安全事件為全球各行業(yè)帶來了強烈沖擊,軟件供應(yīng)鏈安全也一舉成為了全球焦點,。企業(yè)界如何看待這一系列軟件供應(yīng)鏈安全事件所造成的影響,?又從這些事件中得到了哪些啟示,?企業(yè)在軟件供應(yīng)鏈安全方面究竟面臨哪些核心痛點?又應(yīng)該軟件供應(yīng)鏈安全治理策略落地,?主持人張毅就這一系列問題與各位嘉賓進行了交流,。
東方通集團副總裁兼北京東方通軟件有限公司副總經(jīng)理朱木林分享到,log4j2在軟件界被視為一次核爆事件,,開源軟件的安全性已經(jīng)成為了一個全球性話題,,業(yè)內(nèi)統(tǒng)計,自開源軟件誕生后,,有98%的企業(yè)都在應(yīng)用中引用了開源代碼和開源組件,。但事實上,軟件開發(fā)是無法離開開源軟件的,,隨著數(shù)字化應(yīng)用的蓬勃發(fā)展,,開發(fā)人員的編碼方式也隨之改變,繼續(xù)重復(fù)造輪子寫基礎(chǔ)函數(shù)和代碼早已經(jīng)成為了過去,。因此他認為,,一味回避開源軟件并不可取,軟件供應(yīng)鏈安全治理仍然應(yīng)該聚焦在加強對流程,、質(zhì)量的把控方面,。
平安壹錢包安全DevSecOps運營負責(zé)人汪永輝認為,當(dāng)前行業(yè)所面臨的軟件供應(yīng)鏈安全的核心痛點仍然是研發(fā)人員安全意識薄弱,,沒有真正認識到軟件供應(yīng)鏈安全的重要性,。他談到,此前研發(fā)人員通常會認為引入的開源組件并不是自己編寫的,,其安全風(fēng)險和責(zé)任與己無關(guān),。但在一系列安全事件爆發(fā)后,業(yè)內(nèi)對軟件供應(yīng)鏈安全性才真正引起了重視,。
汪永輝同時也分享了自身企業(yè)的相關(guān)實踐,,他介紹,平安壹錢包將近百個開源組件進行了安全分類分級管理,,并對漏洞,、許可證等開源安全風(fēng)險進行了常態(tài)化治理,通過引入第三方商業(yè)工具識別可能存在的安全隱患,,將相關(guān)隱患推送到相關(guān)研發(fā)部門,,推動研發(fā)人員對存量漏洞和新增相關(guān)風(fēng)險進行修復(fù),最終從業(yè)務(wù)層面加入考核機制,,最終倒逼安全水平得到有效提升,。
圍繞相關(guān)實踐落地經(jīng)驗,中興通訊開源合規(guī)兼安全治理總監(jiān)項曙明也就這一話題進行了分享,,他表示,,除了加強研發(fā)人員安全意識教育外,,中興通訊在高效產(chǎn)品研發(fā)的流程基礎(chǔ)上,把原來流程中的安全相關(guān)的短板進行了補齊,,將開源軟件應(yīng)用規(guī)范性相關(guān)要求進行了完善,。在引入開源軟件前,中興通訊將第三方開源軟件全生命周期管理的相關(guān)要求補充到了IT管理的流程中,,建立了一個獨立的庫將相關(guān)開源軟件納入了管控中,,通過多種方式管控開源軟件風(fēng)險的引入。在開源軟件正式引入后,,中興通訊也在從工程能力方面著手管控風(fēng)險,,目前正在嘗試通過SASE方案來持續(xù)推動可信開源軟件管控的建設(shè)。
DevSecOps和軟件供應(yīng)鏈安全
會是下一個安全風(fēng)口嗎,?
隨著數(shù)字化轉(zhuǎn)型加速,,進入云原生時代,未來DevSecOps和軟件供應(yīng)鏈安全會如何發(fā)展,?在圓桌研討最后,,主持人張毅邀請各位專家就軟件供應(yīng)鏈安全未來發(fā)展趨勢分享了自身的觀點和思考。
博云科技副總經(jīng)理,、董事靳亮認為,,當(dāng)前企業(yè)的科技部門的IT團隊自身正在面臨著云原生和數(shù)字化轉(zhuǎn)型的需求,在這個過程中安全是不可或缺的一環(huán),,而DevSecOps從DevOps誕生之時就是伴生的,,因此DevSecOps未來的蓬勃發(fā)展將是必然趨勢。
用友集團網(wǎng)絡(luò)安全部總經(jīng)理李強認同了靳亮的觀點,,他表示,,正如DevSecOps和DevOps的起承關(guān)系一樣,供應(yīng)鏈安全問題自從軟件誕生的那一刻起就始終存在,,受到當(dāng)前日益嚴峻的安全形勢的影響,,國家才逐漸把供應(yīng)鏈安全提到了一個全新的高度。事實上除了開源軟件之外,,包括其他任何引入的第三方軟件,、接入的合作伙伴系統(tǒng)都是供應(yīng)鏈安全管理的構(gòu)成部分。因此供應(yīng)鏈安全的范疇囊括了包括軟件廠商和安全廠商,,所有人都會面臨著巨大的轉(zhuǎn)型和發(fā)展機會,。
項曙明認為,,當(dāng)前技術(shù)的發(fā)展日新月異,,尤其是在云原生時代下,打造供應(yīng)鏈級的軟件產(chǎn)品已經(jīng)成為了企業(yè)生存和發(fā)展的必然條件,,只有擁抱開源,、擁抱軟件供應(yīng)鏈的管控才能在數(shù)字化浪潮中迎來發(fā)展機遇,。
朱木林最后談到,隨著軟件開發(fā)安全受重視程度的不斷提高,,當(dāng)下無論是何種應(yīng)用場景下的軟件生產(chǎn)企業(yè),,都已經(jīng)開始嘗試融入供應(yīng)鏈管控的措施或者商業(yè)工具對風(fēng)險加以治理。在軟件真正在客戶業(yè)務(wù)中上線前,,無論是傳統(tǒng)架構(gòu)還是云原生架構(gòu)下,,軟件從底層到應(yīng)用層都會介入安全措施,這意味著當(dāng)前做軟件供應(yīng)鏈安全治理已經(jīng)在軟件行業(yè)內(nèi)形成了共識,。
因此他認為,,嚴峻的安全對抗形勢必然會刺激整體行業(yè)的發(fā)展,網(wǎng)絡(luò)安全自身的特性決定了它是一個不斷迭代的螺旋式上升的過程,??梢灶A(yù)測的是,未來將有一大批技術(shù)創(chuàng)新型的安全企業(yè)從中脫穎而出,,同時也將會有一些優(yōu)秀安全從業(yè)者登上時代舞臺,,DevSecOps和軟件供應(yīng)鏈安全必將乘風(fēng)而起。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
