展望2024年供应链安全

2023年是开展供应链安全,尤其是开源治理如火如荼的一年,开源治理是供应链安全最重要的一个方面,所以我们从开源治理谈起。我们先回顾一下2023的开源治理情况。我们从信通院《2023年中国企业开源治理全景观察》发布的信息。信通院调研了来自七个行业、105家企业的开源软件治理能力,受到供应链安全传导的作用,2023年互联网、软件和信息服务企业均开启了开源治理活动。当然整体而言,本次调研占比较高的是金融、通信、互联网行业,以中大型企业为主。

  1. 开源软件使用数量大幅增长,10万以上占12%;
  2. 2021年,25%的企业开源软件使用数量刚刚破万;
  3. 2022年,仅有3%的企业使用开源软件的数量上十万;
  4. 2023年,已有12%的企业使用开源软件的数量破十万。

近两年,大多数企业认识到开源软件的风险,逐渐运用工具做开源治理,相比于之前人工维护开源软件,自动化扫描工具准确度更高、颗粒度更细,所以调研结果中的开源软件企业数量整体大幅增长。在金融行业,除了六大国有银行早就深入开展开源治理活动之外,已经影响到股份制银行、农商行、城市银行等。而2023年证券行业也逐渐加入开源治理行列。央企、国企、以及软件测试/安全评测中心也开启了开源治理活动,可以说2023年是开源治理的元年。

这些企事业单位排名前十的开源治理活动,通过下表我们了解一下。

2023年中国企业开源治理活动TOP10活动

活动出现频率

活动描述

91%

在面临安全问题时及时评估,并有规划进行软件退出操作

88%

通过合同义务确保软件供应商遵循企业的开源软件治理要求

88%

在引入开源软件后,对开源漏洞信息进行持续跟踪

87%

通过版本升级处理开源组件安全漏洞

85%

登记内部所有存量软件

82%

定期开展(1年2次及以上)开源相关培训

82%

制定企业级/部门级新技术及开源软件管理相关制度和流程

79%

建设开源管理平台,辅助管理和统计开源软件信息情况及风险信息处置情况

77%

针对系统软件需求编制安装部署规范,使用操作手册等相关配置文档

75%

在引入开源软件时,进行软件功能评估以及同类软件对比工作

通过上面开展前10的开源治理活动可以看到,根据威胁情报给出的开源组件相关的漏洞,对当前系统中已运用的开源组件进行分析,并采取响应的替换、清退操作仍然是主要采取的活动。例如Log4j组件,这些活动更多的针对存量系统开展的活动。而企事业单位更多是对正在规划建设的IT系统进行开源治理活动,例如通过私服仓库的建立、软件成分分析工具的引入、开源治理管理体系的建设等全面开展活动,才能最大程度上规避开源风险。

开源治理活动中,到底谁对开源软件的安全负责呢?信通院的调研中没有给出明确的定论,看以下的统计数据。

25%的企业:谁先引入谁负责;

25%的企业:按部门职责进行划分;

28%的企业:谁使用谁负责;

22%的企业:由技术委员会评估确定。

这说明不同企业对开源软件谁来负责并没有达成共识,可能参与调研的人所处的岗位也决定了调研结果存在差异性。

其实我们所说的开源软件包括了两大类,其中一类是指开源基础软件,例如:开源操作系统(例如Linux、Android等)、开源数据库(例如MongoDB、Azure RTOS等)、开源编译器(例如GCC、Clang等)、开源中间件(例如Tomcat、Redis等)等。另一类是开源组件,是以源代码形式发布的软件。例如Log4j、Shiro等。其实开源组件的数量远远高于开源基础软件。这两类开源软件在开源治理过程中,应该还是有很多不同的处理方式的。

引入开源软件后,企业会对哪些系统进行持续跟踪呢?

调研结果是开源漏洞信息跟踪为88%、版本跟踪为60%、开源许可证跟踪为58%、社区基本情况的跟踪为41%。这些调研结果仅仅是参与调研者对于开源治理大相关活动的一个认识。企业从引入开源软件、检测、评估、维护、更新、清退开源软件,是一个相对复杂的过程。这里面牵涉到很多技术和管理上的事情。例如对于开源软件引入来说,开源基础软件于开源组件的来源不同,开源基础软件大家往往通过其官方网站进行下载,而开源组件大家往往去中央仓库(例如maven中央仓库)去拉取。还要分是企业自己开发团队引入开源软件,还是由于采购供应商的软件而引入的;对于很多企业,都是在相对封闭的内网进行开发,但是又不得不使用在互联网上中央仓库中开源组件,需要什么样的流程和制度才能既不影响生产又要保证引入开源组件的安全呢?等等这些问题都需要在开源治理活动中不得不考虑的。

另外,部分企业要求做到开源软件收敛,归一化,如何做呢?这种需求一般是架构部门提出来,有些企业把开源软件选型的责任落到架构团队,而架构团队就需要考虑如何减少引入开源软件的数量,对引入开源软件方法建立模型,这也是一个具有挑战性的工作,希望在2024年有企业能够给出一些研究成果。

企业处理开源组件漏洞的方式?

87%企业采用版本升级方式、72%企业采用手动方式下载应用补丁、77%企业则采用替换组件或者删除该组件、而还有10%企业采用不处理方式。这一组调研答案应该是多选题,很多企业勾选了多个开源组件漏洞处理方式。对于不同开源组件漏洞可采用不同的处理方式。的确对一些开源组件无法进行修复,因为由于某些开源组件只能适配某些框架、编译器版本以及依赖特定版本的组件,如果对该组件进行升级或替换,则框架也需要对应升级,编译器版本也需要升级、一些依赖的组件也需要升级,这些升级会带来复杂的、大量的工作,采用不处理方式是相对比较稳妥的处理方式。

对内部所有存量开源软件的管理,大多数企业是如何处理的呢?

调研结果显示,超过70%的企业,仅在新增的安全事件、生态变化等外部因素触发时针对存量开源软件进行非周期检查;仅有20%的企业会对存量开源软件的安全合规性与依赖情况进行周期性分析检查;10%的企业不针对存量开源软件进行检查。

这个调研结果出乎作者的意外。是什么原因让这些参与调研的企业不对存量系统进行开源治理呢?很多企业存在已上线运营的系统,如果有系统运行在互联网上面,则会存在很大风险,因为恶意者可以时刻利用开源组件漏洞来攻击我们这些系统,如果其中有高传染性的开源组件,则很容易被探测到,作为司法证据。

另一项问题调研显示,超过50%的企业缺乏软件成分分析(SCA)工具,且尚未建立SBOM(软件物料清单)的生成与管理机制。这的确反映了当前开源治理中一个重要内容,采购一款SCA工具对于开源治理还是一个必要选项,还好国内SCA工具厂商提供了企业可选的多种产品。

下面我们看看不同行业对开源治理各项指标的关注度。

通信行业:软硬协同、供应链复杂,更关注第三方软件管理

金融行业:在严格的监管法规要求下,重视风险管理(如引入管理、扫描工具、SBOM、SCA等)、软件测评和退出、安全漏洞管理和持续监控等,且规模越大的金融企业期望达到的开源治理能力成熟度越高

金融行业非常重视开源软件带来的风险,在国内也是最早一批做开源治理的企业。在开源治理中,往往是引入供应商的SCA产品,同时引入咨询团队,帮助银行做开源治理管理体系,SCA工具整合到现有的开发流程中,同时考虑对存量系统建立台账等工作。

汽车行业:行业整体生产流程高度规范化、重视功能安全和信息安全,因此更关注开源治理的管理制度(对开源软件的审查、评估、是否合规)、开发测试(以确保软件质量和安全性)

能源行业:涉及大量系统和设备、对供应商和合作伙伴要求更高,更关注第三方软件管理和运维管理

传统制造业:应用较少,对开源软件治理能力的关注度整体偏低

汽车行业,尤其是新兴电动汽车厂商,软件在整个汽车制造中,规模和比重越来越大,通常有几亿行代码,尤其是车载软件,对于汽车驾驶的安全性至关重要。加上出海受到海外监管的需要,对于质量安全和信息安全都非常重视。整车厂软件规模会更大,而且会引入大量的设备供应商和相应的软件,这些软件的安全也需要关注。

软件和信息服务行业:由于核心业务是软件开发和交付,积累了大量的软件资产和技术栈,同时面临海内外更加严格的政策,更注重存量软件管理、组织机制、软件测评和开发测试等方面的实践活动。

互联网行业:由于业务规模和复杂度高,开源软件使用量庞大,但在开源软件治理方面投入相对较少,更多的关注点可能集中在如何使用开源软件快速交付、业务迭代。

对于软件企业和互联网企业,尤其是一些行业头部企业,受到供应链安全传导影响,在近两年也逐渐重视供应链安全。但是互联网企业和软件企业的特点,他们更愿意直接采购一款SCA工具,自行组织建设一部分开源治理规范流程。不像金融行业建立比较完善的开源治理体系。

回顾了2023年,我们再来展望一下2024年,供应链安全仍然是国内企业关注和建设的重点,而且会继续下沉和延伸。在当前世界形势下,由于广义的网络安全是由于各个领域的信息安全组成的,而信息安全又是由软硬件和网络设备安全构成的,包括操作系统安全、中间件安全、交换机安全、编译器安全等等。现在我们面临的安全是整个供应链的安全,除了关注自身软件研发过程中的安全,更多的是关注由于供应链安全带给企业自身的风险。下面我们一起展望一下2024年供应链安全的趋势。

  1. 供应链安全继续向下传导,受到供应链关系影响,相关的上下游企业会更关注供应链安全;
  2. 信创环境下,国产服务器、操作系统、数据库、中间件等更加关注供应链安全;
  3. 在汽车制造企业,安全向底层的基础支撑软件延伸,而由于出海原因,又要关注国际上的安全相关的法律法规;
  4. 在军工科研院所,在供应链安全方面,考虑的会更多,开始注重IDE、编译工具链方面的安全;
  5. 在整个经济环境形势下,还是国企、央企、大型科技企业和互联网企业、汽车生产制造企业等仍然是更关注供应链安全,但是民营企业开始关注供应链安全。

在供应链安全相关的技术和工具方面,具有下列发展趋势。

  1. 需要厂商在技术上有更多的突破,更成熟的工具满足企业对于更高自动化的要求;
  2. 工具具有与其它系统快速集成能力,要求接口丰富且能适配各种Devops工具厂商;
  3. 集成到DevSecOps平台的工具,能够有更多的控制能力、数据度量能力,除了大厂能够在引擎提供数据的基础上进行分析和处理之外,技术和资源相对较弱的企业更希望工具本身能够提供更多的数据分析功能和控制功能;
  4. 在SAST、SCA工具继续在企业运用之后,更多的企业会关注IAST、Fuzzing test以及二进制分析;
  5. 检测工具更适配标准,做到可据可依。CNAS对应的代码审计标准GB/T 34943、34944、34946。行业标准例如GJB、PCI DSS、MISRA、AUTOSAR等等。
  6. 另外,对于金融企业头部银行,开始把安全左移做到极致,在借助于自动化威胁建模,把安全需求与自动化工具覆盖需求结合起来,真正实现闭环管理。

(结束)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/206476.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

渐进式web全栈blazor web

渐进式 vue是渐进式web前端框架,所谓的渐进式就是你不用一开始就整个项目全部使用vue,因为开始你可能并不熟悉vue,而是开始只使用vue的些简单功能,慢慢用它更复杂更好的功能,最终项目可能完全使用vue。 渐进式blazor…

1+x网络系统建设与运维(中级)-练习题4

一.设备命名 LSW1 <Huawei>sys [Huawei]sysn LSW1 [LSW1]un in en 同理可得&#xff0c;给所有设备如以上命令一样配置 二.VLAN LSW1 [LSW1]vlan ba 1 10 20 100 [LSW1]int g0/0/1 [LSW1-GigabitEthernet0/0/1]port link-type trunk [LSW1-GigabitEthernet0/0/1]port tru…

K线图详解

K线图是一种常用于股票、外汇和数字货币等金融市场的图表形式&#xff0c;它提供了价格走势的可视化展示。每根K线代表了一个特定时间周期内的价格变动情况。 每根K线由四个关键价格构成&#xff1a;开盘价&#xff08;Open&#xff09;、收盘价&#xff08;Close&#xff09;…

Redis 环境搭建

文章目录 第1关&#xff1a;Redis 环境搭建 第1关&#xff1a;Redis 环境搭建 编程要求 根据上述相关知识&#xff0c;在右侧命令行中完成 Redis 集群的部署与安装。 安装完成后&#xff0c;使用 echo “cluster nodes”|redis-cli -p 7001 -c >/root/test.txt 将结果保存。…

@德人合科技 | 数据透明加密防泄密系统\文件文档加密\设计图纸加密|源代码加密防泄密软件系统,——防止内部办公终端核心文件数据/资料外泄!

一款专业的数据防泄密管理系统&#xff0c;它采用了多种加密模式&#xff0c;包括透明加密、半透明加密和落地加密等&#xff0c;可以有效地保护企业的核心数据安全。 PC端访问地址&#xff1a; https://isite.baidu.com/site/wjz012xr/2eae091d-1b97-4276-90bc-6757c5dfedee …

el-table操作栏按钮过多 增加展开/收起功能

是的 如图所示有那么一条数据 列表操作栏的按钮七八个 小屏笔记本啥数据项也别看了 就剩下个固定列大刺刺的占着整个页面 解决方法&#xff1a; <el-table-column :width"tableToggle ? 600 : 300" label"操作栏" align"center" header-ali…

idea安装包下载

idea安装教程 IDEA安装包链接&#xff1a;https://pan.baidu.com/s/15dEPF2hV3WPiFWMwGOsKWQ 提取码&#xff1a;kxl7 有激活部署的文档说明&#xff0c;下载自己看吧&#xff0c; 链接&#xff1a;https://pan.baidu.com/s/11yh8cz0R86Ngl7EJN8_5FA 提取码&#xff1a;mdg6

苍穹外卖+git开源

搁置了很久重新开始学 为了学习方便&#xff0c;苍穹外卖的前后端代码已放至git开源。 源代码-->sky-take-out: 苍穹外卖 git学习-->Git基础使用-CSDN博客 后端接口员工管理和分类管理模块 添加员工表单分析&#xff0c;添加的表单账号、手机号、身份证都是码…

vuepress路径问题,导致图片不显示

图片不显示&#xff0c;报 Uncaught SyntaxError: Unexpected token <错误 很可能就是&#xff1a;路径配置原因 1.当设置为 / 时&#xff0c;VuePress 会假设你的站点将部署到服务器的根路径&#xff0c; 例如 https://yourdomain.com/。 2.生成的页面链接和资源引用将以…

MacBook 逆水寒下载安装使用教程,支持最新版本 MacOS 流畅不闪退

最近 MacBook 系统更新到了 MacOS 14.1 很多朋友的逆水寒玩不了了&#xff0c;我尝试了一番可以正常玩了&#xff0c;看图&#xff1a; 其实操作也很简单&#xff0c;我们从头开始&#xff0c;因为 MacOS 系统的更新所以我们也需要更新新版本的 playCover 来适配新的系统&#…

在前端开发中,什么是SEO(Search Engine Optimization)?如何优化网站的SEO?

聚沙成塔每天进步一点点 ⭐ 专栏简介 前端入门之旅&#xff1a;探索Web开发的奇妙世界 欢迎来到前端入门之旅&#xff01;感兴趣的可以订阅本专栏哦&#xff01;这个专栏是为那些对Web开发感兴趣、刚刚踏入前端领域的朋友们量身打造的。无论你是完全的新手还是有一些基础的开发…

韩墨耘——当代大风堂门人代表人物

韩墨耘 中央美术学院客座教授 全国书画艺术委员会副主席 中国书画家协会理事 荣宝斋签约画家 张大千大风堂国展班主任导师 国画大师何海霞亲传弟子 韩墨耘&#xff1a;62年生于洛阳&#xff1b;著名画家、美术教育家、书法家&#xff0c;现居北京。出身书香门第&#xf…

外贸网站建站的注意事项?海洋建站的流程?

外贸网站建站需要注意什么&#xff1f;网站建设要注意哪些问题&#xff1f; 在建设外贸网站时&#xff0c;有一些关键的注意事项需要牢记&#xff0c;以确保网站的成功运营。海洋建站将介绍一些重要的外贸网站建站注意事项&#xff0c;帮助企业避免一些常见的陷阱和错误。 外…

【Java用法】Lombok中@SneakyThrows注解的使用方法和作用

Lombok中SneakyThrows注解的使用方法和作用 一、SneakyThrows的作用二、SneakyThrows注解原理 一、SneakyThrows的作用 普通Exception类,也就是我们常说的受检异常或者Checked Exception会强制要求抛出它的方法声明throws&#xff0c;调用者必须显示的去处理这个异常。设计的目…

力扣541.反转字符串 II

文章目录 力扣541.反转字符串 II示例代码实现总结收获 力扣541.反转字符串 II 示例 代码实现 class Solution {public String reverseStr(String s, int k) {char[] ans s.toCharArray();for(int i0;i<ans.length;i2*k){int begin i;int end Math.min(ans.length-1,begin…

走向未来能源之巅:可控核聚变的探索与挑战

走向未来能源之巅:可控核聚变的探索与挑战 引言 随着人类文明的进步和科技的发展,对能源的需求与日俱增。传统的化石燃料能源面临着枯竭和环境问题的双重压力,因此,寻找一种清洁、可持续、高效的能源成为了全球科学家的共同使命。在这个过程中,可控核聚变作为一种具有巨…

【无线网络技术】——无线局域网(学习笔记)

&#x1f4d6; 前言&#xff1a;本章首先介绍无线局域网的基本概念&#xff0c;然后详细介绍IEEE 802.11的基本工作原理&#xff0c;侧重于媒体访问控制和一跳范围内的通信技术。 目录 &#x1f552; 1. 概述&#x1f558; 1.1 覆盖范围&#x1f558; 1.2 特点&#x1f558; 1.…

如何将微服务注册到nacos服务上

首先可在maven的父工程的pom文件中添加maven的dependencyManagement标签&#xff0c;引入spring-cloud-alibaba-dependencies坐标 <properties><spring.cloud.alibaba.version>2.2.9.RELEASE</spring.cloud.alibaba.version></properties><!-- 管理…

关于近期互联网、大模型、Web3、大A的一点思考

写在2023-12-08 如果说硬件还存在着摩尔定律限制着&#xff0c;在14纳米以内&#xff0c;他们都不得不等着华为&#xff0c; 在软件领域&#xff0c;不管是传统的工业软件&#xff0c;还是当前的大模型&#xff0c;都不受制于摩尔定律&#xff0c; 换句话说&#xff0c;从星火…

C语言百钱买百鸡

"百钱买百鸡"是一个经典的数学问题&#xff0c;源自中国古代的《张丘建在东坡解百子图诗》一书中。这个问题要求找出所有的整数解&#xff0c;用100元钱买100只鸡&#xff0c;每只公鸡5元&#xff0c;每只母鸡3元&#xff0c;小鸡1元3只。 在C语言中&#xff0c;我们…