近日,由国家信息中心主办,复旦大学研究院承办的“数字政府建设暨数字安全技术研讨会”在义乌顺利召开。国家信息中心信息与网络安全部副主任禄凯,复旦大学党委常委、宣传部部长陈玉刚,义乌市委常委、常务副市长喻新贵为会议致辞。海云安作为此次大会的协办单位,并在大会上就数字政府软件供应链安全问题,进行“数字政府软件供应链安全前沿发展及安全监测实践”的分享演讲。
随着科技的不断发展,软件供应链已成为软件产业发展的重要组成部分。然而,近年来频频发生的软件供应链安全事件,对企业和用户造成了严重的经济和社会损失。因此,为了保障软件供应链安全,提高软件产品质量,规范软件产业健康发展,开展软件供应链安全工作势在必行。
会上海云安谢朝海博士分别对软件供应链安全的发展现状、数字政府软件供应链安全面临的新挑战、数字政府软件供应链安全总体思路、数字政府软件供应链安全监测实践,四个方面进行分享和阐述提出,“安全左移”是软件供应链安全的必由之路,面向数字化转型过程中电子政府的云原生要求,借鉴国外DevSecOps方法,依据国内《网络安全法》、等保2.0的“三同步”要求,把局部整改为主的外挂式建设模式走向安全与应用深度融合的“原生安全”模式,通过安全的“左移开发,右拓运营”等方式把安全嵌入到整个数字化转型框架中,形成高效、协调的软件供应链安全解决方案,全面提升数字政府网络安全治理水平。通过软件供应链安全监测平台,对软件供应链安全风险进行实时监测,根据软件组件依赖关系,实现漏洞及恶意组件、恶意程序传播机制的分析与管控,能够及时发现威胁,进行阻断,溯源等,为政府、企业软件供应链安全风险管控提供持续保障。
会议分享最后,海云安谢朝海博士对软件供应链安全进行了简单回顾并给出建议:软件供应链的安全管理是一项系统工程,需要从国家、行业、单位多层面入手。各级机构应及时建立发现、分析、处理和保护软件供应链安全风险的能力,并从整体上改进软件供应链安全管理水平。
软件供应链安全管理平台3SC
软件供应链安全管理平台3SC支持对自主开发、外包开发场景,通过从软件产品的规划、建设、交付、运营全生命周期进行安全管控,快速发现缺陷组件、深度且准确的SBOM清单、许可证合规风险检测、供应商安全风险等安全风险,实现软件开发全过程管控、全方位合规。通过配套安全需求工具箱、自查自证工具箱、安全测试工具箱和验证监测工具箱,提供软件开发规划立项、开发建设、上线测试和运行维护四大阶段安全技术能力,按照软件供应链上游、生产链、下游相关风险进行统一管理,统一管理信创系统开源软件资产风险情况,确保生产制品可信交付、安全运营。
全面的供应链可视性:能够提供对软件供应链的全面可视性,通过全面的可视性,可了解和监控整个供应链的安全性,并及时应对潜在的风险和漏洞。
全自动化的风险评估和漏洞管理:自动化进行风险评估和漏洞管理,减少人工工作量,并及时采取措施来保护软件供应链的安全。
实时的安全监控和响应能力:提供实时的安全监控和响应能力,及时发出警报并采取相应的应对措施。实时的安全监控和响应能力可以帮助用户快速应对安全事件,减少潜在的损失和影响。