面临挑战
软件供应链安全成为政府行业关注的焦点
一是由于数字化转型趋势下,软件架构复杂性增加,外部引入成分占比增加,供应链中断风险增加;二是由于缺乏全面有效的安全评估和防护措施,各个环节均存在被攻击者利用漏洞或恶意代码进行篡改或破坏的可能,导致组件漏洞和供应链投毒事件频发;三是由于多种开源许可协议之间存在不兼容性和冲突性,违反许可证条款将可能面临知识产权纠纷和法律责任。
政府行业面临日益严峻的合规性压力
近年来,国家不断建立健全软件供应链安全相关法律法规、标准制度,政府行业面临日益严峻的合规性压力。相较于等保2.0,《GB/T39204-2022信息安全技术 关键信息基础设施安全保护要求》对关基提出了更高的软件供应链安全保护要求:一是在供应商选择时,应注意防范非技术因素导致产品和服务供应中断风险;二是验收时应对软件进行源代码层面的安全检测;三是关基单位应要求产品和服务提供者对设计、研发、生产、交付等关键环节加强安全管理。
安全监管趋于事前安全、过程安全和内在安全
目前,监管机构在软件供应链安全的检查趋于事前安全、过程安全和内在安全:一是以查带评明确软件供应商软件生产过程各个生命周期的安全要求;二是针对内部开发过程安全投毒,重点评估开发基础设施的安全配置和审计能力;三是加大对软件产品内在组件漏洞、自研比、成分的评分权重。
方案介绍
政府单位侧
- 默安科技提供评估标准的制定和技术服务的落地,从安全机制、软件成分、软件安全性、SBOM、安全责任、应急响应等六大评估维度,对供应商开展软件供应链安全风险评估;政府单位依据评估结果,一是优化原有的供应商准入标准,二是建立供应商准入黑白名单,为管控软件供应商开发安全过程提供抓手,为交付阶段软件代码层面的安全验收提供技术手段,帮助政府单位提升软件供应链安全管理水平。
供给侧
- 默安科技通过建立事前安全咨询、事中安全检测、事后安全分析的面向供应商的安全服务流程,为供应商开发安全赋能。事前安全咨询服务:开放共享门户提供安全知识科普、安全意识培训教育、开源组件入网咨询等能力支撑。事中安全检测服务:通过共享门户提供组件依赖、组件漏洞、组件开源许可证、应用漏洞、基础服务漏洞、第三方云服务的检测能力。事后安全分析服务:通过共享门户提供软件供应链风险和漏洞分析,辅助整改。
方案优势
- 整体提升区域软件安全态势透明度以合规检查为技术手段,通过对合作单位源数据有效采集,结合自建开源组件库、合规检查库、安全检查库对目标进行安全扫描评估,自建立安全维度、资产维度,构建区域级软件供应商安全画像。
- 面向软件供应商的事前、事中、事后服务建立事前入网咨询检查、事中安全检测、事后安全分析的面向合作单位安全服务流程。事前:面向软件供应商提供开源组件许可证安全、漏洞安全、入网评估平台级安全咨询服务;事中:提供开源组件、代码审计、资产合规/安全的SBOM透视能力;事后:开展软件供应链安全评估活动,综合分析软件供应商一次性的外显安全能力。
- 构建区域内可信赖的软件供应链业务模型对软件供应商安全开发活动、软件成分分析、安全风险监控、次级供应商安全管理和安全制度规范管理进行综合评估,促使在整个业务闭环中建立准入登记机制、黑白名单机制,从而提升供需关系信赖度。
- 构建区域级的软件供应链安全评估体系以软件供应链安全国家、行业标准为整体框架和评估业务指导,结合区域技术栈特色,供应链采购关系业务特色与框架指标相融合取长补短,形成统一的、整体的信息安全管理中心评估指标,在评估过程中进一步完善评估业务规范,相辅相成地输出区域级的软件供应链安全评估体系。
联系电话:
0571-57890068
邮箱:
market@moresec.cn
总部地址:
浙江省杭州市余杭区余杭塘路2616号正勤·美培创意园3号楼
分支机构:
