近年来,针对软件供应链的安全攻击事件呈快速增长态势,所造成的危害备受全球瞩目。据Gartner预测,到2025年,全球45%的组织将会遭受一次或多次软件供应链攻击,82%的CIO认为他们将更容易受到攻击。正由于软件供应链攻击变得如此普遍,以至于Gartner将其列为2022年的第二大威胁。为应对软件供应链严峻的安全形势,各国相继出台了相关的法律法规与政策标准,以保障软件供应链安全。
近期,我国颁布了国家标准《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)(以下简称《要求》),其中关于“软件供应链安全”部分,对网络产品和服务清单、网络安全审查、合格供应方目录、来源的稳定或多样性、知识产权、源代码安全检测、网络产品和服务风险隐患处理提出了明确要求。此次标准的发布,有助于进一步提升国家关键信息基础设施安全保障能力和水平,推动我国网络强国建设与数字经济的良性发展。
从《要求》中我们可以看出,在软件供应链安全问题中,国家对网络安全产品的采购及管理制度制定了明确的标准,其中明确要求“应建立供应链安全管理策略,包括:风险管理策略、供应方选择和管理策略、产品开发采购策略、安全维护策略等。”“提供者对网络产品和服务的设计、研发、生产、交付等关键环节加强安全管理。”“对网络产品和服务研发、制造过程中涉及的实体拥有或控制的已知技术专利等知识产权获得10年以上授权”“应自行或委托第三方网络安全服务机构对定制开发的软件进行源代码安全检测,或由供应方提供第三方网络安全服务机构出具的代码安全检测报告。”《要求》的出台进一步强调了我国对于关键信息基础设施供应链安全的重视程度,同时也为软件供应链的安全可信发展提供了有效保障。
企业作为经济活动中的一部分,自身也是供应链中的一环,有自己的上、下游供应商,在安全愈加被重视的环境下,企业自身构建安全的软件供应链流程便尤为重要。
数字化为社会经济的发展带来了诸多便利,企业对软件需求加大,同时也暴露了很多风险点——软件来源复杂(自研、自采、外包等);企业对第三方供应商依赖性增强;供应商安全能力参差不齐…… 诸多不确定性为软件供应活动埋下安全隐患。
作为国内软件安全行业的创领者,开源网安依托十多年的行业技术沉淀,长期致力于软件供应链安全的研究与实践,帮助企业完善软件供应链安全管理体系的建设,包括但不限于构建软件供应链安全管理制度、流程、规范,以及提供技术实现平台——软件供应链安全检测平台(SSCSP)。让软件风险“可视、可控、可管”,降低重大安全问题发生的可能性。
长期以来,开源网安始终致力于软件供应链安全的探索与实践,携手行业伙伴,取得了示范性的效果。并且,我们已将大量的经验总结形成了一套行之有效的软件供应链安全解决方案,保障各行各业的数字化转型与发展。未来,开源网安将为更多企业建立全方位和高效全面的软件供应链安全体系,为企业数字化建设保驾护航。
| 
楼主| 发表于 2022-12-12 08:57 |
更新于 2025-05-22 11:12:43
收藏
回复
淘帖
顶
踩
