来源 :绿盟科技2022-02-21
近日,首届信息通信软件供应链安全社区(以下简称“社区”)成员大会顺利召开。大会由工业和信息化部网络安全管理局指导,中国信息通信研究院(以下简称“中国信通院”)主办,以“强化软件供应链安全治理助力信息通信业健康发展”为主题,旨在落实社区建设理念与目标,增强社区成员单位合作。100余位来自国内网络安全领域的权威专家、学者和企业代表参会,共同见证首届社区成员大会成功举办。工业和信息化部网络安全管理局网络安全处副处长袁春阳出席会议并讲话,中国信通院副院长魏亮及中国工程院沈昌祥院士为大会致辞。
大会由中国信通院安全研究所副所长(主持工作)谢玮主持,依次进行了社区基本情况汇报、工作愿景与工作计划介绍、主题演讲、优秀成果分享等一系列议程。会上,绿盟科技获颁社区首批会员单位证书,绿盟软件供应链安全治理服务方案入选治理实践优秀成果。
在数字化、网络化、智能化为特征的信息化浪溯蓬勃发展,5G、工业互联网、人工智能、大数据等新一代信息技术与制造业加速融合的大背景下,软件供应链安全面临着极大挑战。
绿盟科技聚焦软件供应链生产周期的过程管控,通过推进针对软件生命周期进行全流程安全管控的落地实践,助力从软件生命周期的源头保障软件供应链安全。通过建立软件开发过程中保证软件供应链安全的体系化方法,为软件开发过程中尽可能避免和消除软件的安全缺陷、保证软件供应链安全奠定重要基础。
绿盟科技针对软件供应链安全防范视角总结为四个方面:
外防输入:严进宽用,按照当前引入时间为起始点,摒除带有漏洞的软件版本,严格控制外部引入风险,认定后可认为引入的组件是安全的,可供内部使用,直至曝出漏洞,对组件进行标记风险状态,进入下一个循环;
存量治理:因存量系统较多,按照风险有限的原则,统筹考虑应用系统间的依赖关系,制定基础平台优先治理、互联网应用重点治理等差异化的治理策略,分批次有序开展治理;
内控扩散:建立灰白黑名单机制,防范带有漏洞的组件引入新建系统;针对曝出漏洞但未完成治理的组件或系统进行标记,按需管控;
持续监测:漏洞会长期存在,需要持续监测,做好应急流程,有序治理开源组件安全风险。
绿盟软件供应链安全治理服务方案融合了绿盟科技在BOM分析、语言支持、检测引擎和漏洞库等方面的综合技术实力,结合绿盟科技完善的安全产品体系,能够为用户提供全方位立体化的安全联动防御机制,并为用户软件供应链全生命周期提供安全保障。作为安全行业的深耕者,未来,绿盟科技愿与社区成员共同努力,为软件供应链安全治理贡献力量。