全球網路安全事件頻發不斷,企業紛紛損失慘重。2021年11月,知名logo4j漏洞波及全球多達6萬款開源軟體,70%以上企業受影響。2022年3月,大型加油站服務商遭到勒索軟體攻擊,要求其支付200萬美元贖金,以換取解密器。
為此,國內推出相關法規加強網路安全風險管控。比如2023年6月,金融監管總局釋出《關於加強第三方合作中網路和資料安全管理的通知》,通報了多起安全風險事件。
什麼導致的安全事件頻發?軟體應用愈難符合安全監管要求,這些問題多源於軟體應用生產過程存在安全風險。你可以理解為後廚的裝置不衛生,製作流程不規範,會導致食品安全隱患,會被監管局查處通報。而對於軟體應用,如果生產環節沒做安全防護,遭到外界攻擊,生產出的軟體容易出安全事故,甚至因違反法規被責令下架。
華為雲CodeArts推出軟體供應鏈安全解決方案,對軟體作業流12個安全威脅點加對應防護機制。
- 程式碼檢查防止開發人員編寫不安全程式碼;
- 程式碼檢查、程式碼艙人工稽核、許可權控制防止提交不安全程式碼;
- 訪問控制策略、程式碼艙安全性保護、安全掃描能力,防止程式碼管理系統被攻陷,確保程式碼可信;
- 透過對“構建環境”隔離封閉自動化構建過程,防止構建被惡意修改;
- 細粒度許可權控制以規避CI/CD整合交付被惡意攻陷;
- 開源治理及軟體成分分析,確保依賴可信,杜絕錯誤依賴、依賴項被惡意投毒;
- 在持續整合交付中增設全封閉、自動化,構建可溯源,防止CI/CD被惡意繞過;
- 許可權訪問控制、製品倉完整性保護能力,防止包管理系統被攻陷;
- 製品安全掃描和完整性檢查,以杜絕版本釋出時使用到錯誤包;
- 許可權訪問控制、自動化部署,防止部署過程被篡改;
- 在部署過程驗證部署包的完整性,防止部署內容篡改或不合規;
- 執行態的漏洞檢查及漏洞阻斷能力,防止執行態漏洞利用。
12大安全防護點為軟體生產作業全面護航,支撐了快速響應log4j漏洞,24小時內感知漏洞,48小時完成所有關聯產品追溯驗證,共追溯受影響產品179個。華為雲CodeArts供應鏈安全解決方案端到端的全面防護,透過保障生產出“安全的軟體”,降低企業應用安全事故風險,協助企業應用順利透過等保合規檢測。
免費體驗CodeArts:https://www.huaweicloud.com/devcloud/
點選關注,第一時間瞭解華為雲新鮮技術~