奇安信總裁吳云坤：構(gòu)建四大關(guān)鍵能力體系化治理軟件供應(yīng)鏈安全

2月16日，在首屆ICT軟件供應(yīng)鏈安全治理論壇上，奇安信集團總裁吳云坤表示，軟件供應(yīng)鏈系統(tǒng)生命周期的各個環(huán)節(jié)都可能存在供應(yīng)鏈安全風險，需要用系統(tǒng)工程方法體系化、全局性治理。

供應(yīng)鏈安全體系化管理需重視四大關(guān)鍵點

國際對抗升級疊加數(shù)字化轉(zhuǎn)型，供應(yīng)鏈安全成重要挑戰(zhàn)。一方面，軟件供應(yīng)鏈風險存在于應(yīng)用系統(tǒng)的全生命周期，已成為網(wǎng)絡(luò)攻擊的主要目標；另一方面，近年來的軟件供應(yīng)鏈安全事件頻發(fā)，波及范圍和影響程度也越來越大。對此，吳云坤指出，軟件供應(yīng)鏈安全需要用系統(tǒng)工程方法體系化、全局性治理，從組織、流程制度、場景、能力四個層面出發(fā)，抓好四個關(guān)鍵點。

一是明確軟件供應(yīng)鏈安全管理控制點，針對軟件供應(yīng)鏈全生命周期的安全風險，在不同階段做好不同階段的安全設(shè)計、建設(shè)和運行管理，確保安全覆蓋軟件全生命周期；二是完善軟件供應(yīng)鏈安全管理的組織建設(shè)，這是軟件供應(yīng)鏈安全成功的保障，需要全員參與、分工明確、責任到位；三是健全軟件供應(yīng)鏈安全管理工作內(nèi)容與制度建設(shè)，要將技術(shù)方案與管理辦法深度結(jié)合；四是做好軟件供應(yīng)鏈安全能力的設(shè)計。

軟件供應(yīng)鏈安全全生命周期的四項關(guān)鍵能力

在技術(shù)方面，吳云坤表示，軟件供應(yīng)鏈安全的技術(shù)能力建設(shè)必須涵蓋開發(fā)生產(chǎn)、集成交付、使用運行各階段，并指出了四項關(guān)鍵能力。

首先，建設(shè)開發(fā)安全能力?？赏ㄟ^奇安信代碼衛(wèi)士等第三方代碼安全解決方案，幫助企業(yè)以最小代價建立代碼安全保障體系并落地實施。

其次，建設(shè)開源安全能力?？山柚姘残砰_源衛(wèi)士等專業(yè)系統(tǒng)，實現(xiàn)開源軟件資產(chǎn)識別、開源軟件安全風險分析、開源軟件漏洞告警及開源軟件安全管理等功能，降低由開源軟件帶來的安全風險，保障企業(yè)交付更安全的軟件。

第三，建設(shè)安全部署、運行能力。奇安信天問系統(tǒng)就是專門面向軟件供應(yīng)鏈安全領(lǐng)域的分析平臺，可為高危漏洞影響范圍評估、終端軟件安全管控、后門植入事件主動發(fā)現(xiàn)、信創(chuàng)軟件安全性測評等一系列軟件供應(yīng)鏈安全分析相關(guān)工作提供支撐。

第四，建設(shè)自動化滲透測試能力，持續(xù)探測生產(chǎn)環(huán)境、開發(fā)環(huán)境的信息安全漏洞。

在北京冬奧會網(wǎng)絡(luò)安全服務(wù)中，奇安信就通過建立自動化安全檢測機制，覆蓋跨站腳本、代碼注入、API誤用、密碼管理、配置管理、危險函數(shù)、異常處理、資源管理、代碼質(zhì)量、緩沖溢出等對冬奧業(yè)務(wù)威脅較大的代碼問題，對冬奧業(yè)務(wù)系統(tǒng)的代碼安全性檢測，發(fā)現(xiàn)問題及時處置，從而確保了北京冬奧會“業(yè)務(wù)不中斷、數(shù)據(jù)不出事、合規(guī)不踩線”的零事故運行。

深耕軟件供應(yīng)鏈安全 奇安信獲多項榮譽

科技自立自強，需要強健的軟件供應(yīng)鏈安全做保障。吳云坤介紹，目前，由重慶市委網(wǎng)信辦領(lǐng)導(dǎo)，由璧山區(qū)政府和奇安信集團共同建設(shè)的全國首個軟件供應(yīng)鏈安全檢測中心已落地重慶，面向機構(gòu)和企業(yè)從源代碼層面評估軟件自身安全風險，并提供代碼安全整改建議，最大化降低軟件供應(yīng)鏈上游環(huán)節(jié)問題給整個數(shù)字化業(yè)務(wù)帶來的風險。

憑借多年的技術(shù)積累和產(chǎn)品創(chuàng)新，奇安信軟件供應(yīng)鏈的產(chǎn)品和服務(wù)能力獲得了行業(yè)的充分肯定。在頒獎環(huán)節(jié)，奇安信獲得多項榮譽:奇安信集團獲“信息通信軟件供應(yīng)鏈安全社區(qū)優(yōu)秀會員單位”榮譽，奇安信“基于軟件成分分析的開源軟件安全治理平臺”獲自主創(chuàng)新研發(fā)成果獎，奇安信發(fā)布的《2022中國軟件供應(yīng)鏈安全分析報告》獲“科學(xué)研究文獻成果獎”，奇安信安全專家童小剛、董國偉、蘇砫三人獲“社區(qū)年度優(yōu)秀專家”榮譽。

據(jù)悉，信息通信軟件供應(yīng)鏈安全社區(qū)是在工業(yè)和信息化部網(wǎng)絡(luò)安全管理局指導(dǎo)下，由中國信息通信研究院、中國電信集團有限公司、中國移動通信集團有限公司、中國聯(lián)合網(wǎng)絡(luò)通信集團有限公司、中國鐵塔股份有限公司、奇安信科技集團股份有限公司共同發(fā)起籌建，致力于軟件供給過程的安全生態(tài)建設(shè)，為產(chǎn)業(yè)鏈、供應(yīng)鏈各相關(guān)方等提供研討、研發(fā)、協(xié)作、共治的平臺。