事件频发
金融软件供应链安全,如何破局?
NEWS
”
随着数字化转型的加速推进,应用的数量和迭代速度都越来越快,因应用程序漏洞导致的数据泄露等业务风险时有发生。如何更早、更快地进行漏洞发现,提前规避安全风险,已经成为各行各业安全发展的基本需求。
2023软件供应链安全创新发展论坛
2023年9月19日,“2023软件供应链安全创新发展论坛”在北京顺利召开。
本次论坛由中国信通院信息通信软件供应链安全社区主办,旨在更好地探索软件供应链安全技术创新,促进供应链领域各方交流、分享与合作,助力提升软件供应链治理水平。
NEWS
”
构建更加安全可靠的软件供应链生态是信息通信软件供应链安全社区始终如一的目标,通过举办本次论坛,社区希望为软件供应链安全领域的发展建设搭建更为宽广的平台,进一步强化行业共识,推动形成良性互动的合作机制。
社区将与全体会员单位及合作伙伴携手,以创新为驱动、以实践为目标,从识别软件供应链安全风险入手,重点研讨关键技术,着力搭建治理框架,全面推进生态建设,实现社区社会组织价值。
会前,火线安全CTO卢中阳受邀向论坛发去贺词,预祝论坛圆满成功。
金融行业软件供应链安全
IAST的防护之道
金融行业一直非常重视软件供应链安全问题,随着技术的不断发展,新趋势、新问题和新挑战也层出不穷。
在金融行业分论坛中,火线安全CTO卢中阳为各位嘉宾带来了IAST的防护之道,从IAST产品品类出发,详细介绍了洞态IAST产品在DevSecOps应用安全全生命周期中的独特作用,与各位与会嘉宾共同探讨IAST全周期最佳实践落实服务理念,并分享了洞态IAST在头部大型证券企业、国有银行、大型互联网金融企业的落地实践经验,帮助更多金融行业客户了解IAST、了解软件供应链安全的建设路径。
真技术,能落地
多维提升漏洞检测准确度
核心规则全部可编辑,可自定义更匹配业务模式的检测策略,我们不仅提供安全能力,更帮助企业进行自己的安全能力沉淀。
跨服务全链路漏洞污点追溯
洞态特有的轻Agent端+重服务端,可在服务端动态加载检测引擎,可基于微服务中的跨服务调用等追溯重难点漏洞定位,帮助安全人员极速修复。
全栈安全测试
联动黑盒、白盒、SCA、API等安全检测/测试工具,助力DevSecOps概念落地不可或缺的一部分。
多维提升漏洞检测准确度
高质量基础漏洞策略全公开
检测规则可自定义配置,策略开放配置是技术自信的体现;
熔断机制、污点tag/range则自定义,灵活匹配客户的业务场景,在保证漏洞检测精准度的前提下,提高检出率;
联动黑盒扫描,加持漏洞真实性验证。
跨服务全链路漏洞污点追溯
洞态IAST支持将多个微服务串联,并进行漏洞检测
跨项目/跨服务,完整梳理展示微服务上下游
清晰可见的调用链传播信息
帮助安全人员清晰定位漏洞具体服务与代码行
全栈安全测试
全栈安全测试,提高产品整体生命周期
除深耕IAST漏洞检测能力外,也通过可以联动黑盒、白盒、SCA、API等安全检测/测试工具
是推动企业客户安全左移、构建完整SDL流程,助力DevSecOps概念落地不可或缺的一部分
应用安全类联动
IAST产品的特点决定了它可以提供更高的测试准确性,但同时也存在着一定的限制。IAST的工作原理使IAST在验证漏洞有效性时存在一定难度。通过联动DAST来验证漏洞真实性,可以有效降低漏洞修复工作难度。
目前,洞态IAST已经成功实现了与x-ray等黑盒工具的联动,并且已将成熟的集成经验形成详细开发文档,并全部免费公开,可供客户自行对接。
洞态IAST也会基于深度调研,继续集成其他常见的DAST产品。
金融行业软件供应链
安全风险及共治路径
近年来,软件供应链攻击事件时有发生,对金融机构造成了严重的损失。为应对金融行业软件供应链安全风险,监管机构、行业协会、企业之间要加强沟通合作,打破信息壁垒。
火线安全CTO卢中阳受邀参与本次大会的圆桌论坛,与中国工商银行工银科技技术专家赵鑫、北京中金安服科技有限公司技术专家周孟然、比瓴科技联合创始人兼COO杜永庆、比瓴科技联合创始人兼CTO贝松涛、酷德啄木鸟总经理杨临庆同场思想碰撞,一同分析软件供应链安全风险,共同探讨治理路径及方案。
金融领域作为国家经济的支柱行业,大量依赖软件系统来支撑核心运营,包括金融交易、客户服务、风险管理等关键职能。软件的安全性和可靠性对于保障金融机构的稳健运行和客户信赖至关重要。
现代软件开发和交付过程牵涉众多的供应商和参与者,包括第三方软件开发公司、第三方组件供应商以及开源社区等。这些参与者构成了软件供应链,在从源代码到最终交付的全过程中都存在多个环节和潜在的安全风险。
火线安全将基于洞态IAST的落地实践,帮助更多金融机构构建DevSecOps流程,在降低软件供应链安全风险的同时,确保业务迭代的敏捷性和连续性。
NEWS
”
推荐阅读