圖:奇安信集團解決方案中心高級總監(jiān)金多
近年來,針對軟件供應(yīng)鏈的攻擊事件一直呈快速增長態(tài)勢�����,造成的危害也日益嚴重��。2020年12月�,全球最著名的網(wǎng)絡(luò)安全管理軟件供應(yīng)商SolarWinds遭遇國家級APT團伙高度復(fù)雜的供應(yīng)鏈攻擊并植入木馬后門,導(dǎo)致包括美國關(guān)鍵基礎(chǔ)設(shè)施���、軍隊、政府在內(nèi)的18000多家企業(yè)客戶全部受到影響�����,成為年度最嚴重的供應(yīng)鏈安全事件���。今年2月����,一名研究員通過一種新穎的軟件供應(yīng)鏈攻擊方式��,成功的侵入了微軟、蘋果�、PayPal、特斯拉�、優(yōu)步等35家國際大型科技公司的內(nèi)網(wǎng)。
為應(yīng)對軟件供應(yīng)鏈安全挑戰(zhàn)�����,美國總統(tǒng)拜登在2021年5月12日簽署了“加強國家網(wǎng)絡(luò)安全的行政命令”����,明確提出要增強美國聯(lián)邦政府的軟件供應(yīng)鏈安全,該行政命令被認為是迄今為止美國聯(lián)邦政府為保護美國軟件供應(yīng)鏈安全采取的最強勁措施�。在不久前結(jié)束的網(wǎng)絡(luò)安全行業(yè)年度盛會RSAC 2021上,供應(yīng)鏈安全成為最熱門的主題之一��。
“在網(wǎng)絡(luò)空間對抗不斷升級��、數(shù)字化加速轉(zhuǎn)型�����、國家戰(zhàn)略推動����、開源代碼被普遍使用的情況下�����,軟件供應(yīng)鏈安全建設(shè)勢在必行��?�!?奇安信解決方案中心高級總監(jiān)金多表示����。供應(yīng)鏈安全建設(shè)面向兩個主要的場景:第一是用戶視角的供應(yīng)鏈安全管理場景;第二是開發(fā)者視角的供應(yīng)鏈安全開發(fā)場景���。針對這兩大場景�,奇安信提供的軟件供應(yīng)鏈安全解決方案����,包括代碼安全能力��、軟件空間測繪能力���、感知與自主測試能力��、自動化流程管理能力等四個部分�����。
其中����,代碼安全能力主要由代碼衛(wèi)士和開源衛(wèi)士提供,代碼衛(wèi)士可實現(xiàn)源代碼安全缺陷及后門分析�,開源衛(wèi)士能實現(xiàn)基于源代碼/二進制成分的風(fēng)險分析,幫助客戶盡早發(fā)現(xiàn)和規(guī)避軟件供應(yīng)鏈安全風(fēng)險�����。軟件空間測繪能力由奇安信天問供應(yīng)鏈安全分析系統(tǒng)實現(xiàn)�����,可實現(xiàn)多維度的可持續(xù)數(shù)據(jù)與全面測繪���,以及軟件深度剖析與元素特征提取����。這兩項能力構(gòu)成了軟件供應(yīng)鏈安全解決方案的基礎(chǔ)套件�,滿足廣大企業(yè)客戶最普遍也是急迫的需求�。
奇安信天眼的自動化滲透測試工具��,補天平臺的白帽測試等��,可基于攻防環(huán)境下發(fā)現(xiàn)軟件系統(tǒng)的問題和弱點;通過NGSOC和SOAR實現(xiàn)的流程管理�,通過安全編排自動化與響應(yīng),縮短問題和事件響應(yīng)事件�,顯著提高運營效率,實現(xiàn)基于流程的持續(xù)發(fā)現(xiàn)����、實時反應(yīng)、有效拒止��。這些產(chǎn)品構(gòu)成軟件供應(yīng)鏈安全解決方案的高級套件����,滿足客戶更深層的需求。
奇安信為供應(yīng)鏈安全建設(shè)提供了三大類有針對性的服務(wù)�,分別為供應(yīng)鏈軟件評估服務(wù),供應(yīng)鏈軟件管理技術(shù)支持服務(wù)�����,供應(yīng)鏈軟件驗證服務(wù)����。這些系統(tǒng)化安全服務(wù)和奇安信核心安全能力相結(jié)合,從審查�、檢查、持續(xù)測試���、感知���、自動化等幾個方面,全面確保企業(yè)客戶的供應(yīng)鏈安全建設(shè)順利落地�。
據(jù)悉,本次研討會還發(fā)布了《2021年中國軟件供應(yīng)鏈安全分析報告》��,首次對國內(nèi)軟件供應(yīng)鏈各個環(huán)節(jié)的安全風(fēng)險��,進行了深入細致的研究和解讀��,凸顯了軟件供應(yīng)鏈建設(shè)的緊迫性和重要性��。
