来源 :绿盟科技2022-12-22
为贯彻社区“建生态、探思路、推创新、助实践、促可信”的工作路径,促进软件供应链安全生态良性循环,信息通信软件供应链安全社区组织开展“软件供应链优秀成果案例”征集评审活动,经各会员单位及合作伙伴推选报名、初步评审、论述讲解等程序,来自产学研各界的20位专家、4个评审专家组进行公平、公正、严格复核,最终确定25项成果入选。绿盟科技软件供应链安全白皮书、绿盟代码审计系统分别荣登科学研究文献成果、自主研发创新成果榜单。此次成功入选,是对绿盟科技在软件供应链安全领域理论和实践成果的双重认可。
据悉,社区公示的软件供应链优秀成果案例将于社区年度大会上授予表彰,并组织专题分享沙龙等形式进行宣讲,旨在通过开展该系列活动,促进社区各方供需合作,推动优秀产品、实践成果的推广应用,进一步营造良好的软件供应链安全研究氛围,助力我国软件供应链安全治理水平的高质量发展。
绿盟科技软件供应链安全白皮书
软件供应链安全作为现代供应链安全的重点考虑因素之一,是保障我国新基建稳步建设和落实网络强国战略的重要领域。软件供应链安全需要重点关注以下两点。
一是要靶向聚焦、着力剖析供应链风险产生的内部动因和运行机理。近年来,供应链安全事件频发。随着 SDX 和低代码等技术在数字化转型浪潮的广泛应用,软件开源组件化将成为势在必行的技术演进方向,而由于其本身的软件生产机制特征,网络安全风险的攻击面及风险环节会呈现发散和无规则逻辑状态,因此供应链风险的内部动因和运行机理尤其是业务数字化的内涵值得网安领域重点关注。
二是勿管中窥豹、从广义供应链安全的观测视角提出软件供应链风险对策。以供应链所在行业为中心视角研究软件供应链安全问题是一种挑战,行业发展对象将愈发依赖于数字化转型,原有的安全业务和业务安全范式都将被重塑。因而,以数字业务化作为观测出发点,以广义供应链安全作为观测着力点,以软件供应链安全作为观测落脚点,各行各业对网络安全产业的保驾护航定位将会更加明确。
作为网安代表性企业,绿盟科技主持撰写的软件供应链安全白皮书将带来一个崭新的全景视角,具有积极的借鉴价值,为网安行业的政产学研用健康生态如何推动提供有意义的模式示范。
绿盟代码审计系统
绿盟代码审计系统是一款集软件组成分析和静态应用程序安全测试能力的代码安全审计系统。它提供一套完整的开源组件资产识别、开源组件漏洞识别、源代码缺陷审计的解决方案。在不改变企业现有开发测试流程的前提下,与软件版本管理、缺陷追踪等系统进行集成,实现代码安全目标的统一管理、漏洞修复指引、安全审计报告、组成分析、软件物料清单等功能。
静态代码审计功能覆盖了大部分主流的开发语言,并且那种了丰富的缺陷漏洞规则,能够针对源代码中常见的安全缺陷漏洞和编码规范漏洞进行检测。内置缺陷检测规则数千条,全面覆盖CWE、OWASP、MISRA等多种合规规范。能够帮助客户做系统上线前安全检测。
软件成分分析功能涵盖了大部分主流开发语言的组件包检查,能够检查出大部分已知开发框架的使用情况,识别源代码中使用的不安全组件。在信息收集阶段,通过扫描和遍历源代码中的文件,来尽可能多的找到软件组成的信息,给后面分析阶段提供数据。组件漏洞分析阶段,通过信息收集阶段获得到的数据,与知识库(组件库和漏洞库)的匹配,来进行软件组成的分析和漏洞分析。在log4j2和tarfile等0day漏洞爆发时,能帮客户快速检测出风险组件。