近日,首屆資訊通訊軟體供應鏈安全社群(以下簡稱“社群”)成員大會順利召開。大會由工業和資訊化部網路安全管理局指導,中國資訊通訊研究院(以下簡稱“中國信通院”)主辦,以“強化軟體供應鏈安全治理 助力資訊通訊業健康發展”為主題,旨在落實社群建設理念與目標,增強社群成員單位合作。100餘位來自國內網路安全領域的權威專家、學者和企業代表參會,共同見證首屆社群成員大會成功舉辦。工業和資訊化部網路安全管理局網路安全處副處長袁春陽出席會議並講話,中國信通院副院長魏亮及中國工程院沈昌祥院士為大會致辭。
大會由中國信通院安全研究所副所長(主持工作)謝瑋主持,依次進行了社群基本情況彙報、工作願景與工作計劃介紹、主題演講、優秀成果分享等一系列議程。會上,綠盟科技獲頒社群首批會員單位證書,綠盟軟體供應鏈安全治理服務方案入選治理實踐優秀成果。
在數字化、網路化、智慧化為特徵的資訊化浪溯蓬勃發展,5G、工業網際網路、人工智慧、大資料等新一代資訊科技與製造業加速融合的大背景下,軟體供應鏈安全面臨著極大挑戰。
綠盟科技聚焦軟體供應鏈生產週期的過程管控,透過推進針對軟體生命週期進行全流程安全管控的落地實踐,助力從軟體生命週期的源頭保障軟體供應鏈安全。透過建立軟體開發過程中保證軟體供應鏈安全的體系化方法,為軟體開發過程中儘可能避免和消除軟體的安全缺陷、保證軟體供應鏈安全奠定重要基礎。
綠盟科技針對軟體供應鏈安全防範視角總結為四個方面:
外防輸入:嚴進寬用,按照當前引入時間為起始點,摒除帶有漏洞的軟體版本,嚴格控制外部引入風險,認定後可認為引入的元件是安全的,可供內部使用,直至曝出漏洞,對元件進行標記風險狀態,進入下一個迴圈;
存量治理:因存量系統較多,按照風險有限的原則,統籌考慮應用系統間的依賴關係,制定基礎平臺優先治理、網際網路應用重點治理等差異化的治理策略,分批次有序開展治理;
內控擴散:建立灰白黑名單機制,防範帶有漏洞的元件引入新建系統;針對曝出漏洞但未完成治理的元件或系統進行標記,按需管控;
持續監測:漏洞會長期存在,需要持續監測,做好應急流程,有序治理開源元件安全風險。
綠盟軟體供應鏈安全治理服務方案融合了綠盟科技在BOM分析、語言支援、檢測引擎和漏洞庫等方面的綜合技術實力,結合綠盟科技完善的安全產品體系,能夠為使用者提供全方位立體化的安全聯動防禦機制,併為使用者軟體供應鏈全生命週期提供安全保障。作為安全行業的深耕者,未來,綠盟科技願與社群成員共同努力,為軟體供應鏈安全治理貢獻力量。