奇安信两案例入选信通院2022安全守卫者计划优秀案例

近日，中国信息通信研究院公布了2022安全守卫者计划。凭借在软件供应链安全的丰富实践和技术积累，奇安信申报的“基于DevOps的供应链安全实践”和“开源软件安全治理体系”获2022安全守卫者计划优秀案例。中国信通院还公布了“业务安全推进计划”成员单位，奇安信集团入选为首批成员单位。

近年来，针对软件供应链的攻击事件一直呈快速增长态势。根据奇安信发布的《2021中国软件供应链安全分析报告》数据显示：国内企业软件项目100％使用了开源软件；超8成软件项目存在已知高危开源软件漏洞；平均每个软件项目存在66个已知开源软件漏洞，15年前的开源软件漏洞仍然存在于多个软件项目中。

无所不在的软件漏洞，成为软件供应链安全的核心威胁。对此，奇安信推出了面向软件供应链安全的整体解决方案，积极推进国内企业软件供应链安全建设。

在浙江移动“基于DevOps的供应链安全实践”案例中，奇安信协助浙江移动建立了供应链安全治理和管理体系，并通过奇安信代码卫士、奇安信开源卫士与浙江移动软件代码库、私服制品库等研发平台对接，在研发、测试环节提供源代码缺陷检测、开源组件安全检测，通过工具、技术手段将可以自动化、重复性的安全工作融入到研发体系内，让安全属性嵌入到整条流水线，提高软件质量和供应链安全治理水平。

通过项目的落地应用，不仅为浙江移动规范了开源软件的全生命周期流程，规范供应商的软件代码安全开发和准入流程，建立了开源软件资产管理能力、开源软件漏洞检测能力、源代码审计能力，大幅提升了IT系统供应链开源软件检测项目覆盖率，建立开源软件安全漏洞情报机制、提高了开源软件的风险排查及响应速度，还在运营商行业开展源代码检测、开源软件治理安全实践，实现DevOps流程和研发安全融合，为集团总部和其他同行积累了开源软件治理经验。

在为某商业银行打造的“开源软件安全治理体系”中，奇安信针对用户的业务和应用需求，搭建了一套B/S架构解决方案开源卫士，构建了开源软件准入管控、开源软件资产识别、漏洞及协议风险分析、开源软件最新漏洞情报监测等四大典型应用场景。

该方案不仅建立了系统-源码-组件-漏洞情报的关联关系，以可视化的方式呈现全行开源软件资产和漏洞台账，还在DevSecOps落地场景中对接客户的开发、测试系统，让开源卫士无缝融入银行现有研发流程，实现日常开发自动化检测，并建立起配套的安全管控流程和制度，方便该银行更加规范、标准的治理开源软件安全问题。

相关负责人介绍，本次“安全守卫者计划”优秀案例征集评选，旨在通过安全产品、解决方案、安全服务的涌现，为企业数字资产安全提供有力保障，提供可靠的生产环境，提高效率，降低风险。

此外，奇安信还作为“业务安全推进计划”首批成员单位，获得中国信通院授牌。

据悉，“业务安全推进计划”由中国信通院牵头，云计算开源产业联盟结合产、学、研各方力量筹备成立，目的为通过搭建业务安全创新平台，推动业务安全产业发展，构建开放的业务安全管理生态。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

---

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

在线阅读版：《2021中国软件供应链安全分析报告》全文

HackerOne 谈如何保护软件供应链安全

PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点

开源项目 Parse Server 出现严重漏洞，影响苹果 Game Center

奇安信开源软件供应链安全技术应用方案获2022数博会“新技术”奖

更好的 DevSecOps，更安全的应用

他坦白：只是为了研究才劫持流行库的，你信吗？

热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持，用于窃取AWS密钥

从美行政令看软件供应链安全标准体系的构建

研究员发现针对 GitLab CI 管道的供应链攻击

五眼联盟：管理服务提供商遭受的供应链攻击不断增多

趁机买走热门包唯一维护人员的邮件域名，我差点发动npm 软件供应链攻击

RubyGems 包管理器中存在严重的 Gems 接管漏洞

美国商务部机构建议这样生成软件供应链 “身份证”

《软件供应商手册：SBOM的生成和提供》解读

和GitHub 打官司？热门包 SheetJS出走npmjs.com转向自有CDN

不满当免费劳力，NPM 热门库 “colors” 和 “faker” 的作者设无限循环

NPM流行包再起波澜：维护人员对俄罗斯用户发特定消息，谁来保证开源可信？

NPM逻辑缺陷可用于分发恶意包，触发供应链攻击

攻击者“完全自动化”发动NPM供应链攻击

200多个恶意NPM程序包针对Azure 开发人员，发动供应链攻击

哪些NPM仓库更易遭供应链攻击？研究员给出了预测指标

NPM 修复两个严重漏洞但无法确认是否已遭在野利用，可触发开源软件供应链攻击

热门NPM库 “coa” 和“rc” 接连遭劫持，影响全球的 React 管道

速修复！热门npm 库 netmask 被曝严重的软件供应链漏洞，已存在9年

25个恶意JavaScript 库通过NPM官方包仓库分发

Pwn2Own大赛回顾：利用开源服务中的严重漏洞，攻陷西部数据My Cloud PR4100

开源网站内容管理系统Micorweber存在XSS漏洞

热门开源后端软件Parse Server中存在严重的 RCE ，CVSS评分10分

开源组件11年未更新，严重漏洞使数百万安卓按设备易遭远程监控

开源工具 PrivateBin 修复XSS 漏洞

奇安信开源组件安全治理解决方案——开源卫士

题图：Pixabay License

转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~