睿治

智能数据治理平台

睿治作为国内功能最全的数据治理产品之一，入选IDC企业数据治理实施部署指南。同时，在IDC发布的《中国数据治理市场份额,2022》报告中，蝉联数据治理解决方案市场份额第一。

在线免费试用 DEMO体验视频介绍

睿治智能数据治理平台

IDC蝉联数据治理解决方案市场第一

131页2022年软件供应链安全治理与运营白皮书

时间：2022-08-26来源：一勺晚安浏览数：146次

软件供应链开源化，导致影响软件全供应链的各个环节都不可避免受到开源应用的影响。尤其是开源应用的安全性问题，将直接影响采用开源应用的相应软件供应链的安全。除了开源应用开发者因疏忽导致的开源应用安全缺陷，还可能存在具有非法目的开发者故意预留的开源应用安全缺陷，甚至还有恶意攻击者伪造的含有隐藏性恶意功能的异常行为代码被故意上传到上游开源代码托管平台，实施定向软件供应链攻击。

数字化时代，软件定义万物，已逐渐成为支撑社会正常运转的最基本元素之一。随着软件开发过程中开源应用的使用越来越多，开源应用事实上逐渐成为了软件开发的核心基础设施，混源软件开发也已成为现代应用主要软件开发交付方式，开源应用的安全问题也已被上升到基础设施安全和国家安全的高度来对待。

而现代软件应用的供应链非常复杂，软件供应链安全管理是一个系统工程，亟需从国家、行业、机构、企业各个层面建立软件供应链安全风险的发现能力、分析能力、处置能力、防护能力，整体提升软件供应链安全管理的水平。为此，需要开展全方位的软件供应链安全检测防御方法和技术研究。第一，开展软件成分动态分析及开源应用缺陷智能检测技术研究，突破高效高准确性的开源应用安全缺陷动态检测技术的瓶颈，解决基于全代码遍历和代码片段级克隆技术比对的应用安全检测难题，进一步实现对全球开源应用的全面安全检测，从源头堵住软件供应链安全隐患的源头。第二，建立全球开源应用的传播态势感知和预警机制，攻克软件供应链中软件来源多态追踪技术，实现对供应链各环节中软件来源的溯源机制。通过软件来源多态追踪技术监控开源应用的使用传播和分布部署态势，全面把握有缺陷的开源应用传播和使用渠道，实现对全球开源应用及其安全缺陷的预测预警。第三，建立国家级/行业级软件供应链安全监测与管控平台，具备系统化、规模化的软件源代码缺陷和异常行为代码分析、软件漏洞分析、开源软件成分及风险分析等关键能力，为关键基础设施、重要信息系统用户提供日常的自查服务，及时发现和处置软件供应链安全风险。第四，严格管控软件供应链上游，尤其重点管控开源应用的使用，积极推动代码疫苗、SCA、区块链和SBOM等新技术和标准在软件供应链安全领域的推广和应用，从根本上提供软件供应链安全的可靠保障。