首页 > 洞察软件供应链安全痛点,打造全生命周期治理方案
开源技术蓬勃发展,已成为数字化转型的核动力,为软件赋能经济高质量发展提供了基础底座。高速的发展也带来的巨大的安全隐患,主要体现在:开源软件安全性无保障,漏洞多;漏洞具有“攻击一点,伤及一片”问题;软件存在知识产权风险。党的二十大报告中强调“着力提升产业链供应链韧性和安全水平”,软件供应链安全风险不但会直接影响关键基础设施和数字经济安全,甚至会对国家安全产生威胁。
中移杭研针对开源软件在企业内“理不清”、“看不见”、“找不到”等现象,自研守望者·清源平台,提供软件物料清单(SBOM)分析、安全漏洞和开源许可等检测功能。通过标准规范、源头治理、过程治理、动态监测等方法,探索出开源软件从选型、使用、维护到退出的全生命周期治理实践。
以科技创新为核心驱动力,以高质量发展为首要任务
守望者·清源平台提供软件成分自动化识别、可视化的技术能力。实现对源码和二进制包“一键式”的全量软件成分分析,并以“最小元素”的形式输出软件成分全量树。平台以软件物料清单为基础,首创软件成分动态化监测实践,实现降本增效。首创软件成分识别与安全检测分离技术,打通软件物料清单上下游完整性验证。利用开源软件补丁定位技术提升补丁版本的准确率。
守望者·清源平台与行业的安全研发流程(DevSecOps/SDLC)能够实现无缝融合。通过“2+3+5”技术架构,实现安全6性目标,打造软件供应链治理流程化、标准化机制,树立软件供应链安全治理实践的行业标杆。已建设丰富的安全漏洞库,组件数量和漏洞数量在行业第一梯队。
未来的软件供应链安全领域必将面临着更加严峻的挑战。中移杭研持续进行技术及制度创新,总结提炼平台使用经验,配合社区推进相关标准规范制定和完善,丰富更新“软件物料清单实践指南”,推进软件供应链上下游共建积极防御体系,推动网络安全产业高质量发展!
