“97%的金融服务/金融科技行业代码库包含开源,其中超过60%的代码库存在漏洞。”根据公开数据显示,金融行业的软件供应链安全形势十分严峻,从源头解决软件开发安全问题、实现安全左移势在必行。
供应链安全建设涉及企业和组织内的多个部门,除了网络安全部、项目建设、运维运营、质量管理等部门外,还涉及供应商管理、商务采购等部门。同时供应链安全建设也涉及管理制度、管理流程的设计和落地。
五大建议三项举措 帮助重点行业应对供应链安全风险
结合上述背景,国家多个行业监管部门近期提出了对供应链安全风险的警示,并作出了工作部署和工作要求。针对供应链安全风险,奇安信总结了以下五个方面的建设意见。
第一是增强自身的风险防范意识,提高对供应链安全关注。组织内部相关部门学习供应链安全知识,了解软件供应链风险。建设涵盖代码检测、开源检测、软件成分分析、软件行为分析、渗透测试在内的安全检测能力,并以上述检测能力,支持风险评估和审计工作。
第二是明确供应链安全责任部门和流程。这里既要明确供应链安全的核心责任部门,也需要明确相关部门的责任。同时根据自己的业务特点和既有的业务流程,制定供应链安全的管理制度、管理流程和应急响应预案。
第三是建立供应商安全评估能力体系,建立开源组件检测能力和开源情报系统。供应商安全评估能力体系至少包括了两部分的内容,一个是供应商安全能力要求,另一个是供应商安全审查的机制。特别是要求供应商建设开源组件分析能力,能提供开源组件台账和开源风险情报,以及开源漏洞响应机制、漏洞修补的能力。
第四是建设软件安全开发体系。在执行开发软件系统和由供应商定制开发软件系统两个场景内,开发团队应结合实际的开发流程,参考软件安全开发的模型与最佳实践,在开发流程中引入响应的安全活动。这些安全活动包括但是不限于安全需求分析、安全特性设计、安全编码规范、安全测试、安全交付、安全运行等环节。这个过程中应重点关注开源组件的引入和管理,以及长期的漏洞检测机制建设、安全事件响应机制建设。
第五是督促供应商加强自身的网络安全建设。供应商应按照甲方要求,或参考等级保护等安全标准,建设建全自身的网络安全管理机制和技术体系。防止供应商自身的信息安全隐患威胁到最终用户的安全性。
针对广大客户在供应链安全领域遇到的安全问题,奇安信可以为客户提供以下三类服务。
其次是供应链安全相关能力。这其中包括源代码审计能力、开源组件审计能力、开源漏洞情报、渗透测试能力、软件安全分发、运行环境加固、权限管理、供应链安全攻防等,更广泛的安全能力还包括为供应商建设完整的网络安全体系。
“在网络空间对抗不断升级、数字化加速转型、国家战略推动、开源代码被普遍使用的情况下,软件供应链安全建设是大势所趋。”此前,奇安信解决方案中心高级总监金多表示。接下来,奇安信愿意与软件使用方、开发商、服务商一起,结合行业背景与实际业务情况,遵照标准要求,助力金融等行业客户共同打造更安全的软件供应链体系。
本文源自金融界网
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至123456@qq.com 举报,一经查实,本站将立刻删除。
