“软件供应链的开源化使得软件供应链的各个环节都不可避免地受到开源应用的影响。尤其是开源应用的安全性,将直接影响着软件供应链的安全性。除开源应用开发者在开发过程中引入安全缺陷之外,也可能会存在开发者有目的性地预留的安全缺陷,甚至存在攻击者将含有隐藏性恶意功能的异常行为代码上传到上游开源代码托管平台,以便实施定向软件供应链攻击的安全风险。上述开源应用中存在的众多安全问题,都将导致软件供应链安全隐患大大增加,使得安全形势更加严峻。”——摘自子芽新书《DevSecOps敏捷安全》
2022年8月2日,由悬镜安全主办、OpenSCA联合承办的第十届互联网安全大会(以下简称“ISC 2022”)软件供应链安全治理与运营论坛隆重召开。本次论坛由悬镜安全创始人&CEO、OpenSCA创始人子芽出品,旨在携手软件供应链安全领域的专家学者、行业领袖、企业代表、技术精英就各行业对软件供应链安全治理与运营理念的创新实践进行分享与探讨。
会上,子芽分享了其对软件供应链安全领域的深刻洞察;悬镜安全与ISC联合发布《软件供应链安全治理与运营白皮书(2022)》;来自工信部第五研究所、中国信通院、国家工业信息安全发展研究中心、中国移动、易车、汇丰的多位安全专家基于自身研究和实践成果进行了主题演讲;来自中兴通讯、平安壹钱包、用友、东方通、博云的行业领袖还围绕论坛主题进行了圆桌讨论。可谓精彩纷呈。
领导致辞
合作共赢,保障软件供应链安全
工业和信息化部电子第五研究所信息安全中心主任 卢列文
卢列文在开场致辞中指出,随着数字化转型进程的加快以及开源代码的广泛应用,软件供应链日趋复杂多元,软件供应链安全风险不断加剧,针对软件供应链薄弱环节的攻击愈演愈烈,软件供应链安全已成为影响软件安全的关键因素之一,治理和运营工作势在必行。
他表示,我国高度重视软件供应链安全,《网络安全审查办法》《关键信息基础设施安全保护条例》《“十四五”软件和信息技术服务业发展规划》等一系列政策法规及标准制度,成为保障软件供应链安全的坚实后盾。他也欣喜地发现,许多机构、企业和安全厂商正积极围绕国家发展战略和相关法规,为提升软件供应链安全治理和运营水平而不懈努力着。
最后他提出,合作共赢是软件供应链安全的发展趋势,他所在的五所愿与大家一道,为保障软件供应链安全、建立可信开源生态贡献智慧和力量,倾力打造安全可信的软件供应链,保障数字中国安全稳定建设。
出品人洞察
云原生场景下软件供应链风险治理技术浅谈
悬镜安全创始人&CEO、OpenSCA创始人、《DevSecOps敏捷安全》作者 子芽
在随后的出品人洞察环节中,子芽分享了其对云原生场景下软件供应链风险治理技术的研究成果和趋势研判。首先他指出,从云原生时代软件供应链技术的跃迁式演进中,不难发现四个新的变化:
1.新制品:软件成分从早期的闭源到混源再到开源主导;
2.新发布:开发过程从传统的瀑布式到敏捷再到DevOps研运一体化;
3.新技术:数字化应用架构从早期的单体应用到SOA(Service-Oriented Architecture,面向服务的架构)再到微服务;