奇安信总裁吴云坤 体系化整治软件供应链安全
发布时间:2023-02-23 11:06:15 所属栏目:安全 来源:
导读: 在首届ICT软件供应链安全治理论坛上,奇安信集团总裁吴云坤表示,软件供应链系统生命周期的各个环节都可能存在供应链安全风险,需要用系统工程方法体系化、全局性治理。
供应链安全体系化管理需要重视
供应链安全体系化管理需要重视
|
在首届ICT软件供应链安全治理论坛上,奇安信集团总裁吴云坤表示,软件供应链系统生命周期的各个环节都可能存在供应链安全风险,需要用系统工程方法体系化、全局性治理。 供应链安全体系化管理需要重视的关键点 国际对抗升级叠加数字化转型,供应链安全成重要挑战。一方面,软件供应链风险存在于应用系统的全生命周期,已成为网络攻击的主要目标;另一方面,近年来的软件供应链安全事件频发,波及范围和影响程度也越来越大。对此,吴云坤指出,软件供应链安全需要用系统工程方法体系化、全局性治理,从组织、流程、制度、场景、能力四个层面出发,抓好四个关键点。 一是明确软件供应链安全管理控制点,针对软件供应链全生命周期的安全风险,在不同阶段做好不同阶段的安全设计、建设和运行管理,确保安全覆盖软件全生命周期;二是完善软件供应链安全管理的组织建设,这是软件供应链安全成功的保障,需要全员参与、分工明确、责任到位;三是健全软件供应链安全管理工作内容与制度建设,要将技术方案与管理办法深度结合;四是做好软件供应链安全能力的设计。 供应链全生命周期软件安全关键 在技术方面,吴云坤表示,软件供应链安全的技术能力建设必须涵盖开发生产、集成交付、使用运行各阶段,并指出了四项关键能力。 首先,建设开发安全能力。可通过奇安信代码卫士等第三方代码安全解决方案,系统化地帮助人工智能企业以成本最小代价建立数字代码智能化的安全保障体系并有条不紊地落地实施。 其次,建设开源安全能力。可借助奇安信开源卫士等专业系统,实现开源软件资产识别、开源软件安全风险分析、开源软件漏洞告警及开源软件安全管理等功能,降低开源软件带来的安全风险,保障企业交付更安全的软件。 第二,建设自动化渗透测试能力,持续探测生产环境、开发环境的信息安全漏洞。 在北京冬奥会网络安全服务中,奇安信就通过建立自动化安全检测机制,覆盖跨站脚本、代码注入、API误用、密码管理、配置管理、危险函数、异常处理、资源管理、代码质量、缓冲溢出等对冬奥业务威胁较大的代码问题,对冬奥业务系统的代码安全性检测,发现问题及时处置,从而确保了北京冬奥会“业务不中断、数据不出事、合规不踩线”的零事故运行。 深耕软件供应链安全 奇安信获多项荣誉 科技自立自强,需要强健的软件供应链安全做保障。吴云坤介绍,目前,由重庆市委网信办领导,由璧山区政府和奇安信集团共同建设的全国首个软件供应链安全检测中心已落地重庆,面向机构和企业从源代码层面评估软件自身安全风险,并提供代码安全整改建议,最大化降低软件供应链上游环节问题给整个数字化业务带来的风险。给整个数字化业务带来的风险。据了解,目前国内已有多家银行、保险公司、证券公司、互联网金融平台等机构接入金融壹账通,并与其合作开发相关产品。 (编辑:驾考网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |