信通院郭雪在ISC 2022分享了软件供应链安全标准体系的建设成果,强调了过程安全和来源安全的重要性。Log4j2.x事件凸显了软件供应链安全的紧迫性,标准体系包括《软件供应链安全管理能力成熟度模型》、《可信研发运营安全能力成熟度模型》等,旨在帮助企业建立安全管理体系。
在第十届互联网安全大会(ISC 2022)上,悬镜安全出品并主办了软件供应链安全治理与运营论坛,特邀中国信息通信研究院(以下简称“信通院”)云计算与大数据研究所开源和软件安全部副主任郭雪,发表了主题为“软件供应链安全标准体系建设与洞察”的精彩演讲。
图1 信通院郭雪在悬镜软件供应链安全治理与运营论坛发表主题演讲
以下为演讲实录:
大家好,我是信通院云大所的郭雪,非常荣幸能够参与悬镜软件供应链安全与运营论坛,与大家分享软件供应链产业的发展现状以及信通院在软件供应链安全相关标准体系方向的建设成果和对产业的洞察。
软件供应链安全研究背景
为何两年来软件供应链安全关注度如此之高?这与相关安全事件的频发是密切相关的,尤其2021年年末爆发的Log4j2.x漏洞事件产生了非常大的影响,无论是传统行业的公司还是软件开发公司抑或是安全厂商,都关注到了软件供应链安全。欧盟调研数据显示,软件供应链安全事件近年来的增长速度高于以往。也有报告显示,大约45%的受访企业在软件供应链保护方面的工作只完成了一半。
在这样的软件供应链产业大背景下,首先最重要的是要明确软件供应链安全的定义。不同人对软件供应链安全的认知差异很大,有的人甚至将软件供应链与软件安全、开发安全划上等号。
2019年,某家全球知名网络安全公司提出了软件供应链的定义:从开发到将产品或服务从供应商交付给客户所涉及的组织、人员、活动、信息和资源系统。Linux基金会在《开源软件供应链安全报告》中指出,软件供应链组成要素包括开发者、存储库、包依赖关系管理器和最终用户。
信通院认为,软件供应链概念是由传统供应链定义演进而来。传统供应链在
最低0.47元/天 解锁文章
扫一扫
937
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
