2023年2月16日，首屆ICT軟件供應(yīng)鏈安全治理論壇暨信息通信軟件供應(yīng)鏈安全社區(qū)第二屆成員大會(huì)在北京成功舉辦，多位業(yè)界頂級(jí)專家與工業(yè)和信息化部網(wǎng)絡(luò)安全管理局相關(guān)領(lǐng)導(dǎo)出席，為現(xiàn)場(chǎng)觀眾分享了關(guān)于軟件供應(yīng)鏈可持續(xù)性與安全治理行業(yè)的前瞻與思考。

會(huì)議期間，墨菲安全自主研發(fā)的【軟件供應(yīng)鏈安全管理平臺(tái)】被授予自主研發(fā)創(chuàng)新成果獎(jiǎng)。會(huì)議下午，墨菲安全協(xié)助中國(guó)移動(dòng)舉辦分會(huì)場(chǎng)論壇《推進(jìn)標(biāo)準(zhǔn)體系建設(shè)與評(píng)估 保證軟件供應(yīng)鏈安全可信》，墨菲安全聯(lián)合創(chuàng)始人在現(xiàn)場(chǎng)帶來(lái)了精彩技術(shù)分享，贏得了現(xiàn)場(chǎng)專家及企業(yè)代表的好評(píng)。

大會(huì)現(xiàn)場(chǎng)舉行了頒獎(jiǎng)儀式，墨菲安全【軟件供應(yīng)鏈安全管理平臺(tái)】榮獲自主研發(fā)創(chuàng)新成果獎(jiǎng)。

當(dāng)日下午分會(huì)場(chǎng)，墨菲安全協(xié)助中國(guó)移動(dòng)舉辦分會(huì)場(chǎng)論壇《推進(jìn)標(biāo)準(zhǔn)體系建設(shè)與評(píng)估 保證軟件供應(yīng)鏈安全可信》，墨菲安全聯(lián)合創(chuàng)始人兼實(shí)驗(yàn)室負(fù)責(zé)人歐陽(yáng)強(qiáng)斌帶來(lái)分享《軟件供應(yīng)鏈漏洞及投毒情報(bào)在合規(guī)場(chǎng)景中的應(yīng)用》。分享基于 《信息安全技術(shù)軟件供應(yīng)鏈安全要求》國(guó)家標(biāo)準(zhǔn)(已于2022年發(fā)布征求意見(jiàn)稿)，深度剖析了漏洞利用與軟件后門植入風(fēng)險(xiǎn)，以及如何通過(guò)情報(bào)提高風(fēng)險(xiǎn)應(yīng)對(duì)能力，幫助企業(yè)滿足合規(guī)要求。

《信息安全技術(shù)軟件供應(yīng)鏈安全要求》可能成為未來(lái)軟件供應(yīng)鏈安全合規(guī)的基本要求，其中提到了10類風(fēng)險(xiǎn)，漏洞利用和軟件后門植入是重點(diǎn)關(guān)注的風(fēng)險(xiǎn)。

1、從軟件供應(yīng)鏈的角度來(lái)看，依賴的開源組件、部署的開源應(yīng)用以及使用的商業(yè)軟件是三類典型的漏洞利用風(fēng)險(xiǎn)引入場(chǎng)景。

2、在標(biāo)準(zhǔn)中針對(duì)軟件后門植入的風(fēng)險(xiǎn)又細(xì)分為供方預(yù)留的后門以及攻擊者惡意植入的場(chǎng)景，從歷史案例來(lái)看，軟件產(chǎn)品后門以及在通信行業(yè)中大量涉及到的路由器、防火墻等網(wǎng)絡(luò)設(shè)備存在較大的后門隱患;在攻擊者惡意植入后門的場(chǎng)景中，還存在著2022年NPM中存在著faker.js和node-ipc這樣典型的熱門組件開發(fā)者化身攻擊者在代碼中加入惡意邏輯的事件。

針對(duì)這樣的風(fēng)險(xiǎn)，通過(guò)以漏洞情報(bào)、投毒情報(bào)為代表的情報(bào)數(shù)據(jù)，能夠幫助企業(yè)實(shí)現(xiàn)三類種典型控制能力：

1、引入前的準(zhǔn)入與卡位

2、引入中的檢測(cè)與修復(fù)

3、引入后的風(fēng)險(xiǎn)監(jiān)測(cè)與處置

在當(dāng)前漏洞和投毒情報(bào)的構(gòu)建還面臨許多挑戰(zhàn)，如公開漏洞庫(kù)的數(shù)據(jù)不全、質(zhì)量不高，投毒情報(bào)沒(méi)有公開數(shù)據(jù)。墨菲安全在持續(xù)建設(shè)漏洞和投毒的情報(bào)能力，通過(guò)自建漏洞庫(kù)、投毒情報(bào)挖掘能力，提供有效的情報(bào)能夠幫助企業(yè)實(shí)現(xiàn)風(fēng)險(xiǎn)的事前排查和持續(xù)監(jiān)測(cè)，提升安全工程師運(yùn)營(yíng)處置效率，實(shí)現(xiàn)軟件供應(yīng)鏈安全合規(guī)治理。

(完整分享回放可搜索“墨菲安全”的視頻號(hào)/Bilibili查看)

同時(shí)協(xié)助電信分論壇《打造供應(yīng)鏈評(píng)估體系 應(yīng)對(duì)安全威脅挑戰(zhàn)》，墨菲安全聯(lián)合創(chuàng)始人兼產(chǎn)品負(fù)責(zé)人車志遠(yuǎn)帶來(lái)分享《覆蓋全文件對(duì)象的高精檢測(cè)及自動(dòng)修復(fù)的軟件供應(yīng)鏈安全技術(shù)》。

分享圍繞企業(yè)依據(jù) SBOM 進(jìn)行軟件供應(yīng)鏈安全風(fēng)險(xiǎn)治理時(shí)，依賴的全文件類型對(duì)象的覆蓋能力、高精度的檢測(cè)能力、自動(dòng)修復(fù)等關(guān)鍵技術(shù)能力，為企業(yè)在風(fēng)險(xiǎn)治理的落地上提供建設(shè)思路。

1、全文件類型對(duì)象的覆蓋能力，主要解決復(fù)雜供應(yīng)鏈軟件類型場(chǎng)景下的檢測(cè)問(wèn)題：重點(diǎn)介紹了源代碼、二進(jìn)制文件SBOM分析的難點(diǎn)和技術(shù)方案，及其應(yīng)用場(chǎng)景。

2、高精度的檢測(cè)能力，主要解決風(fēng)險(xiǎn)檢測(cè)出現(xiàn)的漏報(bào)、誤報(bào)問(wèn)題：重點(diǎn)介紹精準(zhǔn)漏洞知識(shí)庫(kù)的建設(shè)難點(diǎn)和實(shí)現(xiàn)方案，以及對(duì)于漏洞真實(shí)風(fēng)險(xiǎn)評(píng)估(漏洞可達(dá)性)的技術(shù)方案和其業(yè)務(wù)場(chǎng)景。

3、自動(dòng)修復(fù)能力，主要解決風(fēng)險(xiǎn)修復(fù)成本高的問(wèn)題：重點(diǎn)圍繞版本升級(jí)兼容性分析、代碼補(bǔ)丁生成以及二進(jìn)制文件漏洞修復(fù)這三個(gè)實(shí)踐落地中常見(jiàn)的處置場(chǎng)景，分別介紹了實(shí)現(xiàn)難點(diǎn)和技術(shù)方案，以及對(duì)應(yīng)的應(yīng)用場(chǎng)景。

(完整分享回放可搜索“墨菲安全”的視頻號(hào)/Bilibili查看)

會(huì)議全程期間，墨菲安全展區(qū)隨時(shí)為各位參會(huì)者準(zhǔn)備了相關(guān)資料以及電子版各行業(yè)完整資料包，為大家提出的疑問(wèn)進(jìn)行介紹和講解。

未來(lái)，社區(qū)將在指導(dǎo)單位的關(guān)心和支持下、在社區(qū)會(huì)員的共同努力下繼續(xù)蓬勃發(fā)展，墨菲安全作為其中一員將努力為軟件供應(yīng)鏈安全治理貢獻(xiàn)自己的一份力量!

關(guān)于墨菲安全

墨菲安全是一家為您提供專業(yè)的軟件供應(yīng)鏈安全管理的科技公司，核心團(tuán)隊(duì)來(lái)自百度、華為、烏云等企業(yè)，公司為客戶提供完整的軟件供應(yīng)鏈安全管理平臺(tái)，圍繞SBOM提供軟件全生命周期的安全管理，平臺(tái)能力包括軟件成分分析、源安全管理、容器鏡像檢測(cè)、漏洞情報(bào)預(yù)警及商業(yè)軟件供應(yīng)鏈準(zhǔn)入評(píng)估等多個(gè)產(chǎn)品。

墨非安全為客戶提供從供應(yīng)鏈資產(chǎn)識(shí)別管理、風(fēng)險(xiǎn)檢測(cè)、安全控制、一鍵修復(fù)的完整控制能力。同時(shí)產(chǎn)品可以極低成本的和現(xiàn)有開發(fā)流程中的各種工具一鍵打通，包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等數(shù)十種工具無(wú)縫集成。目前墨菲安全已經(jīng)服務(wù)包括螞蟻、平安、快手等在內(nèi)的數(shù)百家企業(yè)客戶。

免責(zé)聲明：市場(chǎng)有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎!此文僅供參考，不作買賣依據(jù)。

責(zé)任編輯：