“开源软件供应链安全管理系统”入选工信部2022年网络安全技术应用试点示范项目!
近日,工信部公布2022年网络安全技术应用试点示范支持项目名单。安全玻璃盒“软件安全管理平台”项目凭借技术先进性、应用价值、可推广性等优势,成功入选“网络安全共性技术”重点方向。
项目介绍
2022年网络安全技术应用试点示范项目评审是根据《关于开展网络安全技术应用试点示范工作的通知》(工信厅联网安函〔2022〕2号)部署安排,由工业和信息化部会同国家互联网信息办公室、水利部、国家卫生健康委员会、应急管理部、中国人民银行、国家广播电视总局、中国银行保险监督管理委员会、中国证券监督管理委员会、国家能源局、国家铁路局、中国民用航空局等十二部委组织开展的旨在鼓励各行业网络安全技术表现突出、具有示范效应的项目。
此次试点示范项目工作是以新型基础设施安全等重要行业领域网络安全保障需求,从网络安全共性技术、网络安全创新服务、网络安全“高精尖”技术创新平台等9个重点方向,遴选一批技术先进、应用成效显著的试点示范项目。
技术先进性
软件安全管理系统以辅助和共生的形式对组织内业务及安全等进行保障。作为以数字为核心的金融服务机构,数字安全是关乎存亡的重要因素。软件安全管理系统可助力实现三方及开源组件的安全引入,自研产品的开源项目选型,以及后续项目的开源组件治理;保证业务系统安全高效运行,持续、稳定的产生价值;
软件安全管理系统帮助亦可通过对业务和场景梳理,对供应商和引入的开源项目的筛选,并将在建和运营项目纳入系统的监控范围,建设贴身的、动态的、可持续性的数据安全体系(技术、管理、运维),保障业务相对安全稳定运行,保障组织发展战略更好落地。
应用价值
“软件安全管理平台”基于坚守“自主可控、正向发展”的开源安全要求,作出开源技术采买、应用、下线的全局性安全谋划。规范好开源软件在各个数字业务系统生命周期中的安全采集、安全管理及安全使用,从系统开发源头构建完整的开源软件供应链安全。从对知悉开源软件中的漏洞,预防新漏洞的产生,修复或消除漏洞三个不同角度来解决开源软件带来的安全威胁。
可推广性
由于开源项目维护者的安全意识和技术能力参差不齐,且开源技术使用的高占有率,越来越多的黑客组织开始将枪口对向开源组件。以该项目的试点作为开源技术采集、使用、管理的示范,不仅是对我国支持开源模式号召的积极响应,同时也是为我国开源生态的治理做实践铺垫。在几乎每个商业业务系统都在使用开源软件进行开发的大背景下,希望能够通过此示范引起各个组织、单位对开源技术的品质以及来源足够的关注和重视。齐力推动开源软件供应链生态建设和治理,极力避免开源软件和软件供应链上游的恶意攻击和人财损失。
结语
金融业作为高度数字化的行业,业务运营、发展和创新强依赖于开源技术。开源技术在推动金融机构科技创新和数字化转型方面也发挥着积极作用,但同时也是安全事件发生的根源。开源技术作为构建金融业务信息系统的基础设施,或将直接影响金融组织存亡。
多起由于开源技术导致的软件供应链安全事件为数字时代敲响了警钟,在开源安全的“后疫情时代”,开源治理更应以响应防疫政策为指导思想,寻找治理路径的创新模式。