近日,中國信息通信研究院公布了2022安全守衛者計劃。憑借在軟件供應鏈安全的豐富實踐和技術積累,奇安信申報的“基于DevOps的供應鏈安全實踐”和“開源軟件安全治理體系”獲2022安全守衛者計劃優秀案例。中國信通院還公布了“業務安全推進計劃”成員單位,奇安信集團入選為首批成員單位。
近年來,針對軟件供應鏈的攻擊事件一直呈快速增長態勢。根據奇安信發布的《2021中國軟件供應鏈安全分析報告》數據顯示:國內企業軟件項目100%使用了開源軟件;超8成軟件項目存在已知高危開源軟件漏洞;平均每個軟件項目存在66個已知開源軟件漏洞,15年前的開源軟件漏洞仍然存在于多個軟件項目中。
無所不在的軟件漏洞,成為軟件供應鏈安全的核心威脅。對此,奇安信推出了面向軟件供應鏈安全的整體解決方案,積極推進國內企業軟件供應鏈安全建設。
在浙江移動“基于DevOps的供應鏈安全實踐”案例中,奇安信協助浙江移動建立了供應鏈安全治理和管理體系,并通過奇安信代碼衛士、奇安信開源衛士與浙江移動軟件代碼庫、私服制品庫等研發平臺對接,在研發、測試環節提供源代碼缺陷檢測、開源組件安全檢測,通過工具、技術手段將可以自動化、重復性的安全工作融入到研發體系內,讓安全屬性嵌入到整條流水線,提高軟件質量和供應鏈安全治理水平。
通過項目的落地應用,不僅為浙江移動規范了開源軟件的全生命周期流程,規范供應商的軟件代碼安全開發和準入流程,建立了開源軟件資產管理能力、開源軟件漏洞檢測能力、源代碼審計能力,大幅提升了IT系統供應鏈開源軟件檢測項目覆蓋率,建立開源軟件安全漏洞情報機制、提高了開源軟件的風險排查及響應速度,還在運營商行業開展源代碼檢測、開源軟件治理安全實踐,實現DevOps流程和研發安全融合,為集團總部和其他同行積累了開源軟件治理經驗。
在為某商業銀行打造的“開源軟件安全治理體系”中,奇安信針對用戶的業務和應用需求,搭建了一套B/S架構解決方案開源衛士,構建了開源軟件準入管控、開源軟件資產識別、漏洞及協議風險分析、開源軟件最新漏洞情報監測等四大典型應用場景。
該方案不僅建立了系統-源碼-組件-漏洞情報的關聯關系,以可視化的方式呈現全行開源軟件資產和漏洞臺賬,還在DevSecOps落地場景中對接客戶的開發、測試系統,讓開源衛士無縫融入銀行現有研發流程,實現日常開發自動化檢測,并建立起配套的安全管控流程和制度,方便該銀行更加規范、標準的治理開源軟件安全問題。
相關負責人介紹,本次“安全守衛者計劃”優秀案例征集評選,旨在通過安全產品、解決方案、安全服務的涌現,為企業數字資產安全提供有力保障,提供可靠的生產環境,提高效率,降低風險。
此外,奇安信還作為“業務安全推進計劃”首批成員單位,獲得中國信通院授牌。
據悉,“業務安全推進計劃”由中國信通院牽頭,云計算開源產業聯盟結合產、學、研各方力量籌備成立,目的為通過搭建業務安全創新平臺,推動業務安全產業發展,構建開放的業務安全管理生態。
