近日,默安科技资深技术专家刘传兴应邀前往厦门国贸控股集团有限公司(以下简称“厦门国贸”)出席软件供应链安全技术交流会。会上,刘传兴以“安全开发与软件供应链安全”为主题展开分享,深度介绍了软件供应链安全的风险态势、风险治理及落地实践,为提升厦门国贸集团各部门及各子公司人员软件供应链安全意识、增强其软件供应链安全防范能力、建立软件供应链安全运营规范强力赋能。
应用安全面临内忧外患,
“安全左移”是必由之路
分享开始,刘传兴首先介绍了应用安全面临的内忧外患,指出安全左移已成必然趋势。“内忧”体现在各个厂商受自身安全能力的限制,很难对大量安全告警做出甄别,从而无法保证上线系统的安全性,这也是国家级攻防演练中出现大量应用安全问题的主因。“外患”则表现为应用成为黑客青睐的香饽饽,近几年的各类报告均显示大部分的漏洞是应用安全漏洞。
解决应用安全困境的最好方法是“安全左移”——从应用程序的开发源头即融入安全,治理安全风险,逐步建立完善的安全开发与运维体系。
技术交流会现场记录 △
安全左移是技术手段,
软件供应链是应用场景
安全左移作为应对应用安全风险的技术手段,软件供应链则是这一手段的应用场景,这也很好地解释了安全开发与软件供应链的区别。而软件供应链所面临的各类隐患,也加剧了应用安全的治理难度。
对于绝大多数企业、组织来说,软件供应链庞大而复杂,系统生命周期的各个环节,例如软件开发生产阶段、集成交付阶段、运维运行阶段都有可能存在任意弱点被利用,从而造成系统业务的损害和中断,尤其近几年软件供应链风险还造成了大量勒索病毒攻击事件,软件供应链的治理迫在眉睫。
答好这两个问题,
做好软件供应链安全风险治理
分享会上,刘传兴通过解答两个问题,剖析了软件供应链安全风险的治理路径。
Q1·
如何从源头解决软件供应链风险的输入?
除了采购商业软件外,企业获取软件的方式还有两种情况,一是企业自主研发,二是企业外包给第三方开发。企业需重点在安全需求前置、组件漏洞治理、软件供应商管控等方面采取措施,提前明确软件供应链风险,选用工具时应考虑自动化程度、检测范围等因素,健全相应的管理制度和规范,并将安全开发能力评估纳入软件供应商考核范围。
Q2·
开发过程中如何做好软件供应链安全管控?
在开发过程中,企业需重点开展开发环境和工具治理、开源软件使用治理、人员安全规范治理,确保私有组件库的安全性,在开发过程中引用安全的组件,并对开发人员进行软件供应链安全意识培训。
与此同时,针对采购商业软件、软件外包开发、软件离场开发、软件自主开发等不同场景,应采用不同的治理方法;面对多级组织架构下的软件供应链安全,应按需选择能力、分阶段实践。建议企业融入以默安科技为例的第三方专业安全厂商服务,在需求提出、安全开发、测试及安全运营各阶段注入强劲动能,实现软件生命周期漏洞跟踪闭环。
最后,刘传兴还通过生动形象的案例,剖析软件供应链安全的细节,与厦门国贸各个专家进行了深入的交流探讨,在思想的碰撞中,探索软件供应链安全在厦门国贸的落地之道。
技术交流会现场记录 △
友好合作,
为厦门国贸数字化建设提质增效
厦门国贸为厦门市属国有企业集团,系《财富》世界500强企业、世界品牌500强、亚洲品牌500强。公司业务布局供应链、先进制造、城市建设运营、消费与健康、金融服务五大赛道,致力于成为“引领优势产业和美好生活的世界一流企业”。
面对厦门国贸的应用安全现状,默安科技专家团队给出轻量化治理方案,以专业的产品+服务赋能到厦门国贸的安全体系中,帮助其有效提升测试团队的安全测试效率,为消除应用漏洞提供了重要支撑,大力提升了其在软件开发和日常运营场景中的安全能力。
默安科技具备丰富的左移开发安全和智慧运营安全经验,拥有完整的体系化安全工具链,在持续思考和创新中,探索出的这条贯穿软件生命周期的安全治理方案,视角更加全面,不拘泥于工具范畴而采用更加多样的治理措施,来达到更好的治理效果,可以实现软件供应链安全治理的真正落地。默安科技软件供应链安全治理方案已在政府、金融、能源、运营商、交通、教育、制造、IT,以及互联网等多个行业数百家政企单位的软件供应链日常安全建设以及攻防演练中有效落地。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...