近日,中国信息通信研究院公布了2022安全守卫者计划。凭借在软件供应链安全的丰富实践和技术积累,奇安信申报的“基于DevOps的供应链安全实践”和“开源软件安全治理体系”获2022安全守卫者计划优秀案例。中国信通院还公布了“业务安全推进计划”成员单位,奇安信集团入选为首批成员单位。
近年来,针对软件供应链的攻击事件一直呈快速增长态势。根据奇安信发布的《2021中国软件供应链安全分析报告》数据显示:国内企业软件项目100%使用了开软件;超8成软件项目存在已知高危开源软件漏洞;平均每个软件项目存在66个已知开源软件漏洞,15年前的开源软件漏洞仍然存在于多个软件项目中。
无所不在的软件漏洞,成为软件供应链安全的核心威胁。对此,奇安信推出了面向软件供应链安全的整体解决方案,积极推进国内企业软件供应链安全建设。
在浙江移动“基于DevOps的供应链安全实践”案例中,奇安信协助浙江移动建立了供应链安全治理和管理体系,并通过奇安信代码卫士、奇安信开源卫士与浙江移动软件代码库、私服制品库等研发平台对接,在研发、测试环节提供源代码缺陷检测、开源组件安全检测,通过工具、技术手段将可以自动化、重复性的安全工作融入到研发体系内,让安全属性嵌入到整条流水线,提高软件质量和供应链安全治理水平。
通过项目的落地应用,不仅为浙江移动规范了开源软件的全生命周期流程,规范供应商的软件代码安全开发和准入流程,建立了开源软件资产管理能力、开源软件漏洞检测能力、源代码审计能力,大幅提升了IT系统供应链开源软件检测项目覆盖率,建立开源软件安全漏洞情报机制、提高了开源软件的风险排查及响应速度,还在运营商行业开展源代码检测、开源软件治理安全实践,实现DevOps流程和研发安全融合,为集团总部和其他同行积累了开源软件治理经验。
在为某商业银行打造的“开源软件安全治理体系”中,奇安信针对用户的业务和应用需求,搭建了一套B/S架构解决方案开源卫士,构建了开源软件准入管控、开源软件资产识别、漏洞及协议风险分析、开源软件最新漏洞情报监测等四大典型应用场景。
该方案不仅建立了系统-源码-组件-漏洞情报的关联关系,以可视化的方式呈现全行开源软件资产和漏洞台账,还在DevSecOps落地场景中对接客户的开发、测试系统,让开源卫士无缝融入银行现有研发流程,实现日常开发自动化检测,并建立起配套的安全管控流程和制度,方便该银行更加规范、标准的治理开源软件安全问题。
相关负责人介绍,本次“安全守卫者计划”优秀案例征集评选,旨在通过安全产品、解决方案、安全服务的涌现,为企业数字资产安全提供有力保障,提供可靠的生产环境,提高效率,降低风险。
此外,奇安信还作为“业务安全推进计划”首批成员单位,获得中国信通院授牌。
据悉,“业务安全推进计划”由中国信通院牵头,云计算开源产业联盟结合产、学、研各方力量筹备成立,目的为通过搭建业务安全创新平台,推动业务安全产业发展,构建开放的业务安全管理生态。