2023 年 2 月 16 日,首届 ICT 软件供应链平安治理论坛暨信息通信软件供应链平安社区第二届成员大会在北京胜利举办,多位业界顶级专家与工业和信息化部网络安全管理局相干领导缺席,为现场观众分享了关于软件供应链可持续性与平安治理行业的前瞻与思考。
会议期间,墨菲平安自主研发的【软件供应链平安治理平台】被授予自主研发翻新成果奖。会议下午,墨菲平安帮助中国移动举办分会场论坛《推动规范体系建设与评估 保障软件供应链平安可信》,墨菲平安联结创始人在现场带来了精彩技术分享,博得了现场专家及企业代表的好评。
会议颁奖
大会现场举办了颁奖仪式,墨菲平安【软件供应链平安治理平台】荣获自主研发翻新成果奖。
当日下午分会场,墨菲平安帮助中国移动举办分会场论坛《推动规范体系建设与评估 保障软件供应链平安可信》,墨菲平安联结创始人兼实验室负责人欧阳强斌带来分享 《软件供应链破绽及投毒情报在合规场景中的利用》。分享基于《信息安全技术软件供应链平安要求》国家标准(已于 2022 年公布征求意见稿),深度分析了破绽利用与软件后门植入危险,以及如何通过情报进步危险应答能力,帮忙企业满足合规要求。
《信息安全技术软件供应链平安要求》可能成为将来软件供应链平安合规的根本要求,其中提到了 10 类危险,破绽利用和软件后门植入是重点关注的危险。从软件供应链的角度来看,依赖的开源组件、部署的开源利用以及应用的商业软件是三类典型的破绽利用危险引入场景。在规范中针对软件后门植入的危险又细分为供方预留的后门以及攻击者歹意植入的场景,从历史案例来看,软件产品后门以及在通信行业中大量波及到的路由器、防火墙等网络设备存在较大的后门隐患;在攻击者歹意植入后门的场景中,还存在着 2022 年 NPM 中存在着 faker.js 和 node-ipc 这样典型的热门组件开发者化身攻击者在代码中退出歹意逻辑的事件。
在《信息安全技术软件供应链平安要求》中对于这些危险要求:
对开源软件、第三方组件中的破绽进行修复 / 缓解
- 需方应要求供方承诺所应用的开源软件和第三方组件不存在已公开破绽未修复的状况,或者对于存在已公开破绽未修复的状况,但通过评估后存在补救措施的,提供相应的平安剖析报告;
不得在软件产品中设置后门
- 需方应要求供方不在软件产品中设置后门,或利用软件产品的便当条件非法获取用户数据、管制和操纵用户零碎和设施,不会利用软件产品的依赖性谋取不正当利益,不得在未受权状况下对软件产品进行降级或更新换代;
发展检测评估
- 需方应明确发展软件产品或服务的性能、性能及平安危险检测评估等要求,明确检测评估的范畴,包含但不限于软件资产辨认、破绽、后门、浸透测试等,波及第三方机构的应明确第三方机构的资质能力;
继续监测,及时发现危险
- 供需双方应依据协定造成常态化危险监测机制,及时发现并处理软件中断供给、进行受权、进行提供产品升级等继续供给危险,破绽、后门等技术平安危险和信息泄露、数据篡改等数据安全危险;
针对这样的危险,通过以破绽情报、投毒情报为代表的情报数据,可能帮忙企业实现三类种典型控制能力:引入前的准入与卡位,引入中的检测与修复,引入后的危险监测与处理。
在以后破绽和投毒情报的构建还面临许多挑战,如公开破绽库的数据不全、品质不高,投毒情报没有公开数据。
墨菲平安在继续建设破绽和投毒的情报能力,通过自建破绽库、投毒情报开掘能力,提供无效的情报可能帮忙企业实现危险的事先排查和继续监测,晋升平安工程师经营处理效率,实现软件供应链平安合规治理。
会议下午,电信分论坛《打造供应链评估体系 应答平安威逼挑战》上,墨菲平安联结创始人兼产品负责人车志远带来分享 《笼罩全文件对象的高精检测及主动修复的软件供应链平安技术》。
分享围绕企业在根据 SBOM 进行软件供应链平安危险治理时,依赖的全文件类型对象的笼罩能力、高精度的检测能力、主动修复等关键技术能力:
- 全文件类型对象的笼罩能力解决简单的供应链软件类型:源代码 SBOM 剖析的难点和技术;二进制 SBOM 剖析的难点和技术及其利用场景。
- 高精度的检测能力解决了危险检测呈现的漏报、误报:从破绽知识库的精准,难点和技术上切入,以及代码破绽实在危险评估的业务场景。
- 主动修复能力解决了危险的修复老本高:版本升级的兼容性问题、代码补丁的生成问题、二进制文件破绽修复。
具体介绍了软件供应链平安治理依赖的 SBOM 关键技术的利用场景以及痛点解决,为企业在危险治理的落地上提供建设思路。
会议全程期间,墨菲平安展区随时为各位参会者筹备了相干材料以及电子版各行业残缺材料包,为大家提出的疑难进行介绍和解说。
将来,社区将在领导单位的关怀和反对下、在社区会员的共同努力下持续蓬勃发展,墨菲平安作为其中一员将致力为软件供应链平安治理奉献本人的一份力量!
墨菲平安是一家为您提供业余的软件供应链平安治理的科技公司,外围团队来自百度、华为、乌云等企业,公司为客户提供残缺的软件供应链平安治理平台,围绕 SBOM 提供软件全生命周期的平安治理,平台能力包含软件成分剖析、源平安治理、容器镜像检测、破绽情报预警及商业软件供应链准入评估等多个产品。
墨非平安为客户提供从供应链资产辨认治理、危险检测、安全控制、一键修复的残缺控制能力。同时产品能够极低成本的和现有开发流程中的各种工具一键买通,包含 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。目前墨菲平安曾经服务包含蚂蚁、安全、快手等在内的数百家企业客户。
官网地址:https://www.murphysec.com/
开源我的项目:https://github.com/murphysecu…