ISC 2022互聯(lián)網(wǎng)安全大會軟件供應(yīng)鏈安全治理與運(yùn)營論壇在ISC元宇宙N世界中舉辦。作為本場分論壇的出品人，懸鏡安全與大會主辦方一同邀請來了多位軟件供應(yīng)鏈安全領(lǐng)域的安全專家、業(yè)界領(lǐng)袖、企業(yè)代表和技術(shù)精英，就各行業(yè)對軟件供應(yīng)鏈安全治理與運(yùn)營理念的創(chuàng)新實踐進(jìn)行分享與探討。

　　近年來，隨著企業(yè)數(shù)字化轉(zhuǎn)型進(jìn)程的加快，軟件正成為社會運(yùn)轉(zhuǎn)的基本組件。但是開源主導(dǎo)的開發(fā)方式以及云原生的普及，使得軟件供應(yīng)鏈安全愈演愈烈，威脅著全球各行各業(yè)的用戶。

　　圍繞軟件供應(yīng)鏈安全相關(guān)話題，在論壇最后的圓桌環(huán)節(jié)，安全419創(chuàng)始人張毅作為圓桌主持人，與來自信創(chuàng)、金融、云計算等領(lǐng)域的多家龍頭企業(yè)技術(shù)負(fù)責(zé)人展開了圓桌對話，邀請各位嘉賓分享了自身軟件供應(yīng)鏈安全建設(shè)實踐經(jīng)驗，并深入探討了軟件供應(yīng)鏈安全發(fā)展的新模式和新未來。

　　企業(yè)應(yīng)如何落地軟件供應(yīng)鏈安全治理

　　和運(yùn)營策略？

　　近兩年來不斷爆發(fā)的SolarWinds和Log4j2等軟件供應(yīng)鏈安全事件為全球各行業(yè)帶來了強(qiáng)烈沖擊，軟件供應(yīng)鏈安全也一舉成為了全球焦點。企業(yè)界如何看待這一系列軟件供應(yīng)鏈安全事件所造成的影響？又從這些事件中得到了哪些啟示？企業(yè)在軟件供應(yīng)鏈安全方面究竟面臨哪些核心痛點？又應(yīng)該軟件供應(yīng)鏈安全治理策略落地？主持人張毅就這一系列問題與各位嘉賓進(jìn)行了交流。

　　東方通集團(tuán)副總裁兼北京東方通軟件有限公司副總經(jīng)理朱木林分享到，log4j2在軟件界被視為一次核爆事件，開源軟件的安全性已經(jīng)成為了一個全球性話題，業(yè)內(nèi)統(tǒng)計，自開源軟件誕生后，有98%的企業(yè)都在應(yīng)用中引用了開源代碼和開源組件。但事實上，軟件開發(fā)是無法離開開源軟件的，隨著數(shù)字化應(yīng)用的蓬勃發(fā)展，開發(fā)人員的編碼方式也隨之改變，繼續(xù)重復(fù)造輪子寫基礎(chǔ)函數(shù)和代碼早已經(jīng)成為了過去。因此他認(rèn)為，一味回避開源軟件并不可取，軟件供應(yīng)鏈安全治理仍然應(yīng)該聚焦在加強(qiáng)對流程、質(zhì)量的把控方面。

　　平安壹錢包安全DevSecOps運(yùn)營負(fù)責(zé)人汪永輝認(rèn)為，當(dāng)前行業(yè)所面臨的軟件供應(yīng)鏈安全的核心痛點仍然是研發(fā)人員安全意識薄弱，沒有真正認(rèn)識到軟件供應(yīng)鏈安全的重要性。他談到，此前研發(fā)人員通常會認(rèn)為引入的開源組件并不是自己編寫的，其安全風(fēng)險和責(zé)任與己無關(guān)。但在一系列安全事件爆發(fā)后，業(yè)內(nèi)對軟件供應(yīng)鏈安全性才真正引起了重視。

　　汪永輝同時也分享了自身企業(yè)的相關(guān)實踐，他介紹，平安壹錢包將近百個開源組件進(jìn)行了安全分類分級管理，并對漏洞、許可證等開源安全風(fēng)險進(jìn)行了常態(tài)化治理，通過引入第三方商業(yè)工具識別可能存在的安全隱患，將相關(guān)隱患推送到相關(guān)研發(fā)部門，推動研發(fā)人員對存量漏洞和新增相關(guān)風(fēng)險進(jìn)行修復(fù)，最終從業(yè)務(wù)層面加入考核機(jī)制，最終倒逼安全水平得到有效提升。

　　圍繞相關(guān)實踐落地經(jīng)驗，中興通訊開源合規(guī)兼安全治理總監(jiān)項曙明也就這一話題進(jìn)行了分享，他表示，除了加強(qiáng)研發(fā)人員安全意識教育外，中興通訊在高效產(chǎn)品研發(fā)的流程基礎(chǔ)上，把原來流程中的安全相關(guān)的短板進(jìn)行了補(bǔ)齊，將開源軟件應(yīng)用規(guī)范性相關(guān)要求進(jìn)行了完善。在引入開源軟件前，中興通訊將第三方開源軟件全生命周期管理的相關(guān)要求補(bǔ)充到了IT管理的流程中，建立了一個獨立的庫將相關(guān)開源軟件納入了管控中，通過多種方式管控開源軟件風(fēng)險的引入。在開源軟件正式引入后，中興通訊也在從工程能力方面著手管控風(fēng)險，目前正在嘗試通過SASE方案來持續(xù)推動可信開源軟件管控的建設(shè)。

　　DevSecOps和軟件供應(yīng)鏈安全

　　會是下一個安全風(fēng)口嗎？

　　隨著數(shù)字化轉(zhuǎn)型加速，進(jìn)入云原生時代，未來DevSecOps和軟件供應(yīng)鏈安全會如何發(fā)展？在圓桌研討最后，主持人張毅邀請各位專家就軟件供應(yīng)鏈安全未來發(fā)展趨勢分享了自身的觀點和思考。

　　博云科技副總經(jīng)理、董事靳亮認(rèn)為，當(dāng)前企業(yè)的科技部門的IT團(tuán)隊自身正在面臨著云原生和數(shù)字化轉(zhuǎn)型的需求，在這個過程中安全是不可或缺的一環(huán)，而DevSecOps從DevOps誕生之時就是伴生的，因此DevSecOps未來的蓬勃發(fā)展將是必然趨勢。

　　用友集團(tuán)網(wǎng)絡(luò)安全部總經(jīng)理李強(qiáng)認(rèn)同了靳亮的觀點，他表示，正如DevSecOps和DevOps的起承關(guān)系一樣，供應(yīng)鏈安全問題自從軟件誕生的那一刻起就始終存在，受到當(dāng)前日益嚴(yán)峻的安全形勢的影響，國家才逐漸把供應(yīng)鏈安全提到了一個全新的高度。事實上除了開源軟件之外，包括其他任何引入的第三方軟件、接入的合作伙伴系統(tǒng)都是供應(yīng)鏈安全管理的構(gòu)成部分。因此供應(yīng)鏈安全的范疇囊括了包括軟件廠商和安全廠商，所有人都會面臨著巨大的轉(zhuǎn)型和發(fā)展機(jī)會。

　　項曙明認(rèn)為，當(dāng)前技術(shù)的發(fā)展日新月異，尤其是在云原生時代下，打造供應(yīng)鏈級的軟件產(chǎn)品已經(jīng)成為了企業(yè)生存和發(fā)展的必然條件，只有擁抱開源、擁抱軟件供應(yīng)鏈的管控才能在數(shù)字化浪潮中迎來發(fā)展機(jī)遇。

　　朱木林最后談到，隨著軟件開發(fā)安全受重視程度的不斷提高，當(dāng)下無論是何種應(yīng)用場景下的軟件生產(chǎn)企業(yè)，都已經(jīng)開始嘗試融入供應(yīng)鏈管控的措施或者商業(yè)工具對風(fēng)險加以治理。在軟件真正在客戶業(yè)務(wù)中上線前，無論是傳統(tǒng)架構(gòu)還是云原生架構(gòu)下，軟件從底層到應(yīng)用層都會介入安全措施，這意味著當(dāng)前做軟件供應(yīng)鏈安全治理已經(jīng)在軟件行業(yè)內(nèi)形成了共識。

　　因此他認(rèn)為，嚴(yán)峻的安全對抗形勢必然會刺激整體行業(yè)的發(fā)展，網(wǎng)絡(luò)安全自身的特性決定了它是一個不斷迭代的螺旋式上升的過程?？梢灶A(yù)測的是，未來將有一大批技術(shù)創(chuàng)新型的安全企業(yè)從中脫穎而出，同時也將會有一些優(yōu)秀安全從業(yè)者登上時代舞臺，DevSecOps和軟件供應(yīng)鏈安全必將乘風(fēng)而起。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<