软件供应链优秀成果案例征集活动自发起以来,遴选推广了来自企事业单位、研究机构与高校的众多优秀项目。社区为持续发挥平台优势,助力优秀治理实践经验推广应用,于2023年11月,发起了“2023软件供应链优秀成果”征集活动,以此进一步丰富软件产品安全保障措施,为优化软件供应链治理和管控体系贡献经验与智慧。
近年来,软件供应链安全相关国家法律法规、各项监管要求持续出台,企业面临日益严峻的合规性压力。软件系统面临软件供应链风险,数据泄露风险、数据勒索风险等也在持续增加。
中国民航信息网络股份有限公司(以下简称中国航信)是专业从事航空运输旅游信息服务的大型国有独资高科技企业,所运营的计算机信息系统和网络系统扮演着行业神经中枢的角色,是民航业务生产链条的重要组成部分。作为关键信息基础设施运营者,中国航信高度重视交付软件的安全质量和软件供应链安全管理。
默安科技协助中国航信,从以下四个方面着力打造软件供应链安全治理解决方案:
一是设计阶段的自动化软件供应链安全需求设计:基于威胁建模实践、合规性和监管政策、既往知识累积,将软件功能设计、安全需求分析、安全设计、安全测试简化到一个自动化流程,减少安全人员的介入,实现轻量化落地。
二是开发、集成环节的软件供应链安全需求检测验证:综合应用SAST、IAST、SCA等安全检测技术结合人工审计,建设编码和集成环节的软件供应链安全需求检测验证能力;与软件供应链安全需求管理流程工具集成,对检测结果进行自动化反馈跟踪。
三是开源组件安全管理:建立开源组件管理流程,规范开源组件正确使用,发布开源组件漏洞处置流程,使用动态和静态两种检测技术,识别开源组件成分风险并形成成分台账清单。
四是软件供应链安全应急响应:建立研发部门软件供应链应急响应流程,通过软件组成成分清单,快速分析相关软件系统、负责部门和项目组名称,提升排查效率。
通过本次项目建设,默安科技帮助客户实现了以下收益:
● 一是流程创新,软件供应链安全需求管理降本增效。实现安全需求设计跟踪90%自动化,安全需求验证自动化验证占比达到40%,大大提升安全需求设计和验证的标准化水平,降低流程管理成本。
● 二是建立高质量软件开源组件清单台账,提高应急效率。实现开源组件的识别,开源组件漏洞检测、开源组件漏洞可达性分析,形成高质量软件开源组件清单。
● 三是建立二方包全生命周期管理机制,防范内部风险。对二方包(公司内部的依赖库)进行全生命周期管理,可跟踪二方包引入的漏洞整改过程,防止二方包bug和漏洞引起的软件安全风险的出现。
● 四是覆盖软件供应链安全场景,建立标准化知识库。重新规划场景与安全需求的关联,建立了1000多项安全需求极其配套的安全设计和测试用例,完善现有安全需求并实现结构化沉淀积累。
软件供应链安全风险评估平台是软件供应链安全检查工具箱的迭代升级,并连续两年入选信息通信软件供应链安全社区“自主研发创新成果”。本次升级主要针对检测引擎核心能力,同时新增二进制软件成分分析、代码同源性检测、开源组件自主可控风险分析、组件漏洞真实性影响分析、组件修复兼容性分析以及恶意文件投毒检测等引擎,适配包括自研、外包、商采在内的更多场景下的风险评估活动。
此外,新上线的合规评估工作台,创新性地引入了管理维度的风险评估,对于供应商以及运营单位的软件供应链安全管理体系的落地情况进行有效的评估。对于技术及管理层面的评估结果,形成全局视角的软件供应链知识图谱以及可视化大屏,将核心风险进行可视化呈现,提升软件供应链的整体透明度,实现风险可追溯性,分别为监管机构、软件运营者、软件供应方提供软件供应链安全技术抓手。
平台通过对软件供应链安全风险进行评估,来降低安全人员的时间投入,提高安全防范能力。通过使用该平台,可以清晰地统计出各个软件使用的三方应用清单,三方组件的风险详情,云服务清单,系统、资产风险数据等各项关键指标,以便安全部门有效推进安全工作及安全决策,让软件供应链风险评估工作的决策有理可循、有据可依。
默安科技在软件供应链安全领域获得多项认可:基于漏洞管理平台的软件供应链安全治理体系获“中国信通院2022安全守卫者计划优秀案例”;供应链安全治理方案获“中国信通院研运质效典范标杆案例”;软件供应链安全治理方案获“中国网络安全产业联盟(CCIA)2022网络安全创新成果大赛入围奖”;作为首批成员单位加入中国信通院软件供应链安全实验室(3S-Lab)和信息通信软件供应链安全社区;政府行业软件供应链安全治理解决方案、软件供应链安全检查工具箱分别入选“优秀治理实践成果”和“自主研发创新成果”。
目前默安科技已经积累了包括政府机构、数字化转型单位以及大型集团企业在内的大量软件供应链安全建设案例,已逐渐成为国内软件供应链安全解决方案的主流提供商。未来,默安科技将继续在软件供应链安全领域深耕,不断强化技术创新与实践积累,帮助广大政企客户构筑并完善下一代安全防护体系,推动软件供应链安全高效治理。
信息通信软件供应链安全社区是在工业和信息化部网络安全管理局指导下,由中国信息通信研究院、中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国铁塔股份有限公司等共同发起筹建,致力于软件供给过程的安全生态建设,为产业链、供应链各相关方等提供研讨、研发、协作、共治的平台。