- 数据分析
- 数据治理
- 产品解决方案
- 行业解决方案
- 案例
- 数据资产入表
- 赋能中心
- 伙伴
- 关于
时间:2022-08-26来源:一勺晚安浏览数:146次
软件供应链开源化,导致影响软件全供应链的各个环节都不可避免受到开源应用的影响。尤其是开源应用的安全性问题,将直接影响采用开源应用的相应软件供应链的安全。除了开源应用开发者因疏忽导致的开源应用安全缺陷,还可能存在具有非法目的开发者故意预留的开源应用安全缺陷,甚至还有恶意攻击者伪造的含有隐藏性恶意功能的异常行为代码被故意上传到上游开源代码托管平台,实施定向软件供应链攻击。
软件供应链开源化,导致影响软件全供应链的各个环节都不可避免受到开源应用的影响。尤其是开源应用的安全性问题,将直接影响采用开源应用的相应软件供应链的安全。除了开源应用开发者因疏忽导致的开源应用安全缺陷,还可能存在具有非法目的开发者故意预留的开源应用安全缺陷,甚至还有恶意攻击者伪造的含有隐藏性恶意功能的异常行为代码被故意上传到上游开源代码托管平台,实施定向软件供应链攻击。上述开源应用中存在的众多安全问题,导致软件供应链的安全隐患大大增加,安全形式更加严峻。
而现代软件应用的供应链非常复杂,软件供应链安全管理是一个系统工程,亟需从国家、行业、机构、企业各个层面建立软件供应链安全风险的发现能力、分析能力、处置能力、防护能力,整体提升软件供应链安全管理的水平。为此,需要开展全方位的软件供应链安全检测防御方法和技术研究。第一,开展软件成分动态分析及开源应用缺陷智能检测技术研究,突破高效高准确性的开源应用安全缺陷动态检测技术的瓶颈,解决基于全代码遍历和代码片段级克隆技术比对的应用安全检测难题,进一步实现对全球开源应用的全面安全检测,从源头堵住软件供应链安全隐患的源头。第二,建立全球开源应用的传播态势感知和预警机制,攻克软件供应链中软件来源多态追踪技术,实现对供应链各环节中软件来源的溯源机制。通过软件来源多态追踪技术监控开源应用的使用传播和分布部署态势,全面把握有缺陷的开源应用传播和使用渠道,实现对全球开源应用及其安全缺陷的预测预警。第三,建立国家级/行业级软件供应链安全监测与管控平台,具备系统化、规模化的软件源代码缺陷和异常行为代码分析、软件漏洞分析、开源软件成分及风险分析等关键能力,为关键基础设施、重要信息系统用户提供日常的自查服务,及时发现和处置软件供应链安全风险。第四,严格管控软件供应链上游,尤其重点管控开源应用的使用,积极推动代码疫苗、SCA、区块链和SBOM等新技术和标准在软件供应链安全领域的推广和应用,从根本上提供软件供应链安全的可靠保障。
上一篇:用数据说话(一)...