近日,首届信息通信软件供应链安全 区(以下简称“ 区”)成员大会顺利召开。大会由工业和信息化部 络安全管理局指导,中国信息通信研究院(以下简称“中国信通院”)主办,以“强化软件供应链安全治理 助力信息通信业健康发展”为主题,旨在落实 区建设理念与目标,增强 区成员单位合作。100余位来自国内 络安全领域的权威专家、学者和企业代表参会,共同见证首届 区成员大会成功举办。工业和信息化部 络安全管理局 络安全处副处长袁春阳出席会议并讲话,中国信通院副院长魏亮及中国工程院沈昌祥院士为大会致辞。
大会由中国信通院安全研究所副所长(主持工作)谢玮主持,依次进行了 区基本情况汇 、工作愿景与工作计划介绍、主题演讲、优秀成果分享等一系列议程。会上,绿盟科技获颁 区首批会员单位证书,绿盟软件供应链安全治理服务方案入选治理实践优秀成果。
在数字化、 络化、智能化为特征的信息化浪溯蓬勃发展,5G、工业互联 、人工智能、大数据等新一代信息技术与制造业加速融合的大背景下,软件供应链安全面临着极大挑战。
绿盟科技聚焦软件供应链生产周期的过程管控,通过推进针对软件生命周期进行全流程安全管控的落地实践,助力从软件生命周期的源头保障软件供应链安全。通过建立软件开发过程中保证软件供应链安全的体系化方法,为软件开发过程中尽可能避免和消除软件的安全缺陷、保证软件供应链安全奠定重要基础。
绿盟科技针对软件供应链安全防范视角总结为四个方面:
外防输入:严进宽用,按照当前引入时间为起始点,摒除带有漏洞的软件版本,严格控制外部引入风险,认定后可认为引入的组件是安全的,可供内部使用,直至曝出漏洞,对组件进行标记风险状态,进入下一个循环;
存量治理:因存量系统较多,按照风险有限的原则,统筹考虑应用系统间的依赖关系,制定基础平台优先治理、互联 应用重点治理等差异化的治理策略,分批次有序开展治理;
内控扩散:建立灰白黑名单机制,防范带有漏洞的组件引入新建系统;针对曝出漏洞但未完成治理的组件或系统进行标记,按需管控;
持续监测:漏洞会长期存在,需要持续监测,做好应急流程,有序治理开源组件安全风险。
绿盟软件供应链安全治理服务方案融合了绿盟科技在BOM分析、语言支持、检测引擎和漏洞库等方面的综合技术实力,结合绿盟科技完善的安全产品体系,能够为用户提供全方位立体化的安全联动防御机制,并为用户软件供应链全生命周期提供安全保障。作为安全行业的深耕者,未来,绿盟科技愿与 区成员共同努力,为软件供应链安全治理贡献力量。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!