中国信息通信研究院发布了2022年安全卫士计划。凭借在软件供应链安全方面的丰富实践和技术积累,曾信宣布的“基于DevOps的供应链安全实践”和“开源软件安全治理体系”被评为2022年安全卫士计划优秀案例。中国信息通信研究院还公布了《运营安全推进方案》成员单位,齐安信集团被选为首批成员单位。近年来,针对软件供应链的攻击迅速增加。据千新发布的《2021中国软件供应链安全分析报告》数据显示,国内100%的企业软件项目都在使用开源软件。超过80%的软件项目都存在已知的开源软件漏洞,平均而言,每个软件项目有66个已知的开源软件漏洞,15年前的开源软件漏洞存在于多个软件项目中。无处不在的软件漏洞是软件供应链安全的核心威胁。对此,钱信推出了软件供应链安全整体解决方案,积极推动国内企业软件供应链安全建设。在浙江移动“DevOps型供应链安全实践”案例中,钱信帮助浙江移动建立供应链安全治理与管理体系,并通过钱信代码卫士、钱信开源卫士等浙江移动软件代码库,它与研发平台对接,如私有服务产品库,提供源代码缺陷检测和开源组件安全检测,通过研发和测试环节实现自动化,可将重复的安全工作集成到研发系统中。在整个管道中嵌入安全属性,以提高软件质量和供应链安全治理。
通过项目应用,规范浙江移动整个开源软件生命周期流程,规范供应商软件代码安全开发和访问流程,建立开源软件资产管理能力、开源软件漏洞检测能力和源代码审核能力。大大提高了开源软件在IT系统供应链中检测项目的覆盖面,建立了开源软件安全漏洞情报机制,提高了开源软件的风险调查和响应速度。他还在运营商行业开展了源代码检查、开源软件治理安全实践,实现了DevOps流程和研发安全集成,并为集团总部和其他同行积累了开源软件治理经验。在为商业银行构建的“开源软件安全治理体系”中,钱信根据用户的业务和应用需求,构建了B/S架构解决方案开源防护,包括开源软件访问控制、开源软件资产识别、漏洞和协议风险分析等。开源软件构建了四个典型的应用场景,如最新的漏洞情报监控。
该计划不仅建立了系统-源-组件-漏洞情报的关系,直观地展示了开源软件资产和漏洞分类账,还在DevSecOps登陆场景中对接了客户的开发和测试系统,并将开源防护无缝集成到银行现有的研发流程中。建立安全控制流程和系统,实现并支持日常开发自动检测,使银行更容易对开源软件安全问题进行规范化、规范化的管理。据相关负责人介绍,此次“安防卫士计划”优秀案例征集和评选,旨在通过安防产品、解决方案和安防服务的出现,为企业数字资产的安全性提供强有力的保障,提供可靠的生产环境,提高效率,降低风险。此外,作为“运营安全推进计划”的第一个成员单位,千新还获得了中国信息通信研究院颁发的许可证。
据介绍,《商务安全推进方案》由中国信息通信研究院牵头,云计算开源产业联盟旨在通过构建商务安全创新平台,推动商务安全产业发展,构建开放的商务安全管理生态系统,生产、学习、生产、学习、生产。它是结合了研究各方的力量而建立的。
文章评论