治理软件供应链安全要打“团体赛” 共同建立供应链安全体系
编译:奇安信代码卫士
中国开源软件推进联盟副秘书长宋可为指出,当前我国软件供应链安全面临三类隐患:第一类是技术漏洞风险,包括一些恶意代码植入等风险;第二类是法律维度风险,包括开源软件的开放许可协议所涉及的商标权、著作权等;第三类,则是合规层面,包括外国市场出口限制所带来的规则风险。他表示,“技术很重要,但也不能脱离于法律限制和行业规则因素独立存在。”
从全球的开源生态来看,已有了成熟的联合机制,不同体量的企业都可以有所贡献;而在国内,优秀的中国程序员在世界范围内的贡献排名遥遥领先,但企业贡献排名稍逊一筹。宋可为提出,国内各企业和部门,也需要形成良好的合作机制,来将科研成果最大化。希望在奇安信、华为、阿里等大企业打带领下,和法律界及科研院所,共同形成多维度、多角度的联合体。
中国信息通信研究院高级工程师王榕也举例说明了当前国际范围内各国部署的供应链安全相关政策举措:美国通过限制交易以保持自身竞争优势,英国通过反垄断来防止单一供应源所带来的风险,日韩和俄罗斯则通过提升自身安全实力来进行国产化产品和服务的替换。而我国目前在体系化政策法规架构方面,仍有较大差距。
供应链安全风险是各个层面、各个环节、各个维度的。奇安信代码安全事业部总经理、代码安全实验室主任黄永刚指出,其最大的挑战就在于供应链的复杂性。首先,针对供应链各环节,需要有检测安全风险的能力;第二,供应链安全是动态的,需要持续监测,并配有安全运营机制。
当前,从软件供应链安全的角度来看,国内监管机构已陆续推出相关标准及政策,但针对关键基础设施和重要信息系统相关的企业和单位,并没有制定具体的举措和细则要求:比如针对关键基础设施和重要信息系统的单位,尚未制定针对软件供应链的具体标准和细则要求,以及为这些重要单位提供服务的软件供应商,也并未建立相应的认证体系确保供应链的安全。
黄永刚表示,“未来相当一段时间内,安全行业的从业者可能要面临的一个非常大的挑战,要去做更多的事情。”
本次研讨会上,奇安信发布了《2021年中国软件供应链安全分析报告》(简称:报告),首次对国内软件供应链各个环节的安全风险进行深入细致的研究解读。并推出面向软件供应链安全的整体解决方案,助力加强供应链安全建设。
同济大学教授、国务院参事室特约研究员吴亮表示,相对于传统供应链安全,软件供应链安全这一“非传统供应链”安全更加复杂。无论是其所涉及的系统性还是安全威胁的隐蔽性,供应链安全都是我国在当前国际环境下,必须面对的重要的、显性的、不可回避的问题。奇安信作为行业龙头企业,需要与其他企业、协会、研究院等共同携手,进一步深入研究软件供应链安全顶层设计面临的问题和解决方案。
与会专家认为, “在软件供应链领域实现‘高水平自强自立’,一方面要解决软件供应链的自主可控的问题,最终还是要解决安全可信问题。”通过本次在顶层设计、具体技术、产业政策等方面的讨论,为“团体赛”搭下了基本框架。
超8成项目存在高危开源漏洞 《2021中国软件供应链安全分析报告》发布
PHP Composer 新漏洞可引发大规模供应链攻击
详细分析PHP源代码后门事件及其供应链安全启示
题图:Pixabay License
转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。