展望2024年供应链安全

2023年是开展供应链安全,尤其是开源治理如火如荼的一年,开源治理是供应链安全最重要的一个方面,所以我们从开源治理谈起。我们先回顾一下2023的开源治理情况。我们从信通院《2023年中国企业开源治理全景观察》发布的信息。信通院调研了来自七个行业、105家企业的开源软件治理能力,受到供应链安全传导的作用,2023年互联网、软件和信息服务企业均开启了开源治理活动。当然整体而言,本次调研占比较高的是金融、通信、互联网行业,以中大型企业为主。

  1. 开源软件使用数量大幅增长,10万以上占12%;
  2. 2021年,25%的企业开源软件使用数量刚刚破万;
  3. 2022年,仅有3%的企业使用开源软件的数量上十万;
  4. 2023年,已有12%的企业使用开源软件的数量破十万。

近两年,大多数企业认识到开源软件的风险,逐渐运用工具做开源治理,相比于之前人工维护开源软件,自动化扫描工具准确度更高、颗粒度更细,所以调研结果中的开源软件企业数量整体大幅增长。在金融行业,除了六大国有银行早就深入开展开源治理活动之外,已经影响到股份制银行、农商行、城市银行等。而2023年证券行业也逐渐加入开源治理行列。央企、国企、以及软件测试/安全评测中心也开启了开源治理活动,可以说2023年是开源治理的元年。

这些企事业单位排名前十的开源治理活动,通过下表我们了解一下。

2023年中国企业开源治理活动TOP10活动

活动出现频率

活动描述

91%

在面临安全问题时及时评估,并有规划进行软件退出操作

88%

通过合同义务确保软件供应商遵循企业的开源软件治理要求

88%

在引入开源软件后,对开源漏洞信息进行持续跟踪

87%

通过版本升级处理开源组件安全漏洞

85%

登记内部所有存量软件

82%

定期开展(1年2次及以上)开源相关培训

82%

制定企业级/部门级新技术及开源软件管理相关制度和流程

79%

建设开源管理平台,辅助管理和统计开源软件信息情况及风险信息处置情况

77%

针对系统软件需求编制安装部署规范,使用操作手册等相关配置文档

75%

在引入开源软件时,进行软件功能评估以及同类软件对比工作

通过上面开展前10的开源治理活动可以看到,根据威胁情报给出的开源组件相关的漏洞,对当前系统中已运用的开源组件进行分析,并采取响应的替换、清退操作仍然是主要采取的活动。例如Log4j组件,这些活动更多的针对存量系统开展的活动。而企事业单位更多是对正在规划建设的IT系统进行开源治理活动,例如通过私服仓库的建立、软件成分分析工具的引入、开源治理管理体系的建设等全面开展活动,才能最大程度上规避开源风险。

开源治理活动中,到底谁对开源软件的安全负责呢?信通院的调研中没有给出明确的定论,看以下的统计数据。

25%的企业:谁先引入谁负责;

25%的企业:按部门职责进行划分;

28%的企业:谁使用谁负责;

22%的企业:由技术委员会评估确定。

这说明不同企业对开源软件谁来负责并没有达成共识,可能参与调研的人所处的岗位也决定了调研结果存在差异性。

其实我们所说的开源软件包括了两大类,其中一类是指开源基础软件,例如:开源操作系统(例如Linux、Android等)、开源数据库(例如MongoDB、Azure RTOS等)、开源编译器(例如GCC、Clang等)、开源中间件(例如Tomcat、Redis等)等。另一类是开源组件,是以源代码形式发布的软件。例如Log4j、Shiro等。其实开源组件的数量远远高于开源基础软件。这两类开源软件在开源治理过程中,应该还是有很多不同的处理方式的。

引入开源软件后,企业会对哪些系统进行持续跟踪呢?

调研结果是开源漏洞信息跟踪为88%、版本跟踪为60%、开源许可证跟踪为58%、社区基本情况的跟踪为41%。这些调研结果仅仅是参与调研者对于开源治理大相关活动的一个认识。企业从引入开源软件、检测、评估、维护、更新、清退开源软件,是一个相对复杂的过程。这里面牵涉到很多技术和管理上的事情。例如对于开源软件引入来说,开源基础软件于开源组件的来源不同,开源基础软件大家往往通过其官方网站进行下载,而开源组件大家往往去中央仓库(例如maven中央仓库)去拉取。还要分是企业自己开发团队引入开源软件,还是由于采购供应商的软件而引入的;对于很多企业,都是在相对封闭的内网进行开发,但是又不得不使用在互联网上中央仓库中开源组件,需要什么样的流程和制度才能既不影响生产又要保证引入开源组件的安全呢?等等这些问题都需要在开源治理活动中不得不考虑的。

另外,部分企业要求做到开源软件收敛,归一化,如何做呢?这种需求一般是架构部门提出来,有些企业把开源软件选型的责任落到架构团队,而架构团队就需要考虑如何减少引入开源软件的数量,对引入开源软件方法建立模型,这也是一个具有挑战性的工作,希望在2024年有企业能够给出一些研究成果。

企业处理开源组件漏洞的方式?

87%企业采用版本升级方式、72%企业采用手动方式下载应用补丁、77%企业则采用替换组件或者删除该组件、而还有10%企业采用不处理方式。这一组调研答案应该是多选题,很多企业勾选了多个开源组件漏洞处理方式。对于不同开源组件漏洞可采用不同的处理方式。的确对一些开源组件无法进行修复,因为由于某些开源组件只能适配某些框架、编译器版本以及依赖特定版本的组件,如果对该组件进行升级或替换,则框架也需要对应升级,编译器版本也需要升级、一些依赖的组件也需要升级,这些升级会带来复杂的、大量的工作,采用不处理方式是相对比较稳妥的处理方式。

对内部所有存量开源软件的管理,大多数企业是如何处理的呢?

调研结果显示,超过70%的企业,仅在新增的安全事件、生态变化等外部因素触发时针对存量开源软件进行非周期检查;仅有20%的企业会对存量开源软件的安全合规性与依赖情况进行周期性分析检查;10%的企业不针对存量开源软件进行检查。

这个调研结果出乎作者的意外。是什么原因让这些参与调研的企业不对存量系统进行开源治理呢?很多企业存在已上线运营的系统,如果有系统运行在互联网上面,则会存在很大风险,因为恶意者可以时刻利用开源组件漏洞来攻击我们这些系统,如果其中有高传染性的开源组件,则很容易被探测到,作为司法证据。

另一项问题调研显示,超过50%的企业缺乏软件成分分析(SCA)工具,且尚未建立SBOM(软件物料清单)的生成与管理机制。这的确反映了当前开源治理中一个重要内容,采购一款SCA工具对于开源治理还是一个必要选项,还好国内SCA工具厂商提供了企业可选的多种产品。

下面我们看看不同行业对开源治理各项指标的关注度。

通信行业:软硬协同、供应链复杂,更关注第三方软件管理

金融行业:在严格的监管法规要求下,重视风险管理(如引入管理、扫描工具、SBOM、SCA等)、软件测评和退出、安全漏洞管理和持续监控等,且规模越大的金融企业期望达到的开源治理能力成熟度越高

金融行业非常重视开源软件带来的风险,在国内也是最早一批做开源治理的企业。在开源治理中,往往是引入供应商的SCA产品,同时引入咨询团队,帮助银行做开源治理管理体系,SCA工具整合到现有的开发流程中,同时考虑对存量系统建立台账等工作。

汽车行业:行业整体生产流程高度规范化、重视功能安全和信息安全,因此更关注开源治理的管理制度(对开源软件的审查、评估、是否合规)、开发测试(以确保软件质量和安全性)

能源行业:涉及大量系统和设备、对供应商和合作伙伴要求更高,更关注第三方软件管理和运维管理

传统制造业:应用较少,对开源软件治理能力的关注度整体偏低

汽车行业,尤其是新兴电动汽车厂商,软件在整个汽车制造中,规模和比重越来越大,通常有几亿行代码,尤其是车载软件,对于汽车驾驶的安全性至关重要。加上出海受到海外监管的需要,对于质量安全和信息安全都非常重视。整车厂软件规模会更大,而且会引入大量的设备供应商和相应的软件,这些软件的安全也需要关注。

软件和信息服务行业:由于核心业务是软件开发和交付,积累了大量的软件资产和技术栈,同时面临海内外更加严格的政策,更注重存量软件管理、组织机制、软件测评和开发测试等方面的实践活动。

互联网行业:由于业务规模和复杂度高,开源软件使用量庞大,但在开源软件治理方面投入相对较少,更多的关注点可能集中在如何使用开源软件快速交付、业务迭代。

对于软件企业和互联网企业,尤其是一些行业头部企业,受到供应链安全传导影响,在近两年也逐渐重视供应链安全。但是互联网企业和软件企业的特点,他们更愿意直接采购一款SCA工具,自行组织建设一部分开源治理规范流程。不像金融行业建立比较完善的开源治理体系。

回顾了2023年,我们再来展望一下2024年,供应链安全仍然是国内企业关注和建设的重点,而且会继续下沉和延伸。在当前世界形势下,由于广义的网络安全是由于各个领域的信息安全组成的,而信息安全又是由软硬件和网络设备安全构成的,包括操作系统安全、中间件安全、交换机安全、编译器安全等等。现在我们面临的安全是整个供应链的安全,除了关注自身软件研发过程中的安全,更多的是关注由于供应链安全带给企业自身的风险。下面我们一起展望一下2024年供应链安全的趋势。

  1. 供应链安全继续向下传导,受到供应链关系影响,相关的上下游企业会更关注供应链安全;
  2. 信创环境下,国产服务器、操作系统、数据库、中间件等更加关注供应链安全;
  3. 在汽车制造企业,安全向底层的基础支撑软件延伸,而由于出海原因,又要关注国际上的安全相关的法律法规;
  4. 在军工科研院所,在供应链安全方面,考虑的会更多,开始注重IDE、编译工具链方面的安全;
  5. 在整个经济环境形势下,还是国企、央企、大型科技企业和互联网企业、汽车生产制造企业等仍然是更关注供应链安全,但是民营企业开始关注供应链安全。

在供应链安全相关的技术和工具方面,具有下列发展趋势。

  1. 需要厂商在技术上有更多的突破,更成熟的工具满足企业对于更高自动化的要求;
  2. 工具具有与其它系统快速集成能力,要求接口丰富且能适配各种Devops工具厂商;
  3. 集成到DevSecOps平台的工具,能够有更多的控制能力、数据度量能力,除了大厂能够在引擎提供数据的基础上进行分析和处理之外,技术和资源相对较弱的企业更希望工具本身能够提供更多的数据分析功能和控制功能;
  4. 在SAST、SCA工具继续在企业运用之后,更多的企业会关注IAST、Fuzzing test以及二进制分析;
  5. 检测工具更适配标准,做到可据可依。CNAS对应的代码审计标准GB/T 34943、34944、34946。行业标准例如GJB、PCI DSS、MISRA、AUTOSAR等等。
  6. 另外,对于金融企业头部银行,开始把安全左移做到极致,在借助于自动化威胁建模,把安全需求与自动化工具覆盖需求结合起来,真正实现闭环管理。

(结束)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/216863.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

解决Eslint和Prettier关于三元运算符的冲突问题

万能大法 // eslint加入配置indent: 0三元运算符Prettier的格式化 三元运算符Eslint的格式要求 解决办法 // eslint加入配置,屏蔽标红报错indent: [error, 2, { ignoredNodes: [ConditionalExpression] }]效果

利用机器学习实现客户细分的实战

前言: Hello大家好,我是Dream。 今天来学习一下机器学习实战中的案例:创建客户细分,在此过程中也会补充很多重要的知识点,欢迎大家一起前来探讨学习~ 一、导入数据 在此项目中,我们使用 UCI 机器学习代码库…

C语言第四十六弹---最快方法找到杨氏矩阵中的数下标

C语言实现最快方法找到杨氏矩阵中数下标。 定义:杨氏矩阵是一种用于描述Young 表和表示论的工具,它在代数几何和组合数学中有广泛的应用。一个杨氏矩阵是一个以若干个正整数构成的矩形表格,且每行和每列的元素单调递增。 从定义中可获得条件…

可视化 Java 项目

有一定规模的 IT 公司,只要几年,必然存在大量的代码,比如腾讯,2019 年一年增加 12.9 亿行代码,现在只会更多。不管是对于公司,还是对于个人,怎么低成本的了解这些代码的对应业务,所提…

道路坑洞数据集(坑洞目标检测)VOC+YOLO格式650张

路面坑洞的形成原因是由于设计、施工、养护处理不当、控制不适和受气候、环境、地质、水文等自然因素影响,以及车辆的运行和车辆超载运行导致路面破损,出现坑洞的现象。 路面坑洞的分类: (1)路面混凝土板中坑洞&…

Node.js创建一个简单的WebSocket接口,实现通信交互

Node.js创建一个简单的WebSocket接口,实现通信交互 一、为什么使用WebSocket? WebSocket,最大特点就是,服务器可以主动向客户端推送信息,客户端也可以主动向服务器发送信息,是真正的双向平等对话&#xf…

基于CNN+数据增强+残差网络Resnet50的少样本高准确度猫咪种类识别—深度学习算法应用(含全部工程源码)+数据集+模型(一)

系列文章目录 基于CNN数据增强残差网络Resnet50的少样本高准确度猫咪种类识别—深度学习算法应用(含全部工程源码)数据集模型(一) 基于CNN数据增强残差网络Resnet50的少样本高准确度猫咪种类识别—深度学习算法应用(含全部工程源码)数据集模型&#xf…

【原创】【一类问题的通法】【真题+李6卷6+李4卷4(+李6卷5)分析】合同矩阵A B有PTAP=B,求可逆阵P的策略

【铺垫】二次型做的变换与相应二次型矩阵的对应:二次型f(x1,x2,x3)xTAx,g(y1,y2,y3)yTBy ①若f在可逆变换xPy下化为g,即P为可逆阵,有P…

SpringBoot项目访问resources下的静态资源

1.新建一个配置文件夹,放配置类 2.编辑 WebMvcConfig.java package com.southwind.configuration;import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.ResourceHandlerRegistry; import or…

智能安全用电监控管理系统

智能用电安全监控管理系统是一种基于物联网技术和大数据分析的智能化管理系统,用于监控和管理电力设备的安全运行。该系统依托电力智慧运维工具-电易云,可以实时监测电力设备的运行状态、电力负荷、用电行为等信息,通过智能算法识别设备的异常…

thinkphp 中 关联查询 like 查询失效

controller: public function goodsList(){if (request()->isGet()) {//表单验证//调用发布$where [];$goodname $this->request->param(goodname, );if(!empty($goodname)){$where[] [name,like,$goodname];}return $this->logic->goodsList($where, $this-…

一个文件下png,jpg,jpeg,bmp,xml,json,txt文件名称排序命名

#utf-8 #authors 会飞的渔WZH #time:2023-12-13 import os# 要修改的图像所在的文件夹路径 root_path rD:\images\lines2\3 # 要修改的图像所在的文件夹路径filelist os.listdir(root_path) #遍历文件夹 print(len(filelist)) i0for item in filelist:if item.endswith(.…

【设计模式--行为型--命令模式】

设计模式--行为型--命令模式 命令模式定义结构案例优缺点使用场景 命令模式 定义 将一个请求封装为一个对象,使发出请求的责任和执行请求的责任分割开。这样两者之间通过命令对象进行沟通,这样方便将命令对象进行存储,传递,调用…

CSDN云账号签约流程

在电脑端上进行提现操作,按提示进行即可。 问题 手机端无法签约。 电脑签约

竞赛保研 python 爬虫与协同过滤的新闻推荐系统

1 前言 🔥 优质竞赛项目系列,今天要分享的是 🚩 python 爬虫与协同过滤的新闻推荐系统 🥇学长这里给一个题目综合评分(每项满分5分) 难度系数:3分工作量:3分创新点:4分 该项目较为新颖&…

【华为数据之道学习笔记】3-4主数据治理

主数据是参与业务事件的主体或资源,是具有高业务价值的、跨流程和跨系统重复使用的数据。主数据与基础数据有一定的相似性,都是在业务事件发生之前预先定义;但又与基础数据不同,主数据的取值不受限于预先定义的数据范围&#xff0…

RocketMQ如何保证消息的可靠性传递❓

RocketMQ 通过一系列的机制来保证消息的可靠性传递,确保在面对各种异常和故障情况时,消息系统能够稳定地处理和传递消息。以下是 RocketMQ 保证可靠性传递的关键机制: 1. 同步双写机制 (Synchronous Write Mechanism): RocketMQ的同步双写机…

Windows汇编调用printf

VS2022 汇编 项目右键 生成依赖项 生成自定义 勾选masm 链接器 高级 入口点 main X86 .686 .model flat,stdcall option casemap:none includelib ucrt.lib includelib legacy_stdio_definitions.libEXTERN printf:proc.data szFormat db %s,0 szStr db hello,0.code main…

2.操作符详解

1.10进制转二进制方法 所以125的二进制就是1111101 2.2进制转8进制: 从2进制序列中右边最低位开始向左每3个2进制位换算为一个8进制位,剩余不够3个2进制位的直接换算 例:01101011转为01 101 011 即1 5 3 即8进制的153 还原回去的话: 将3化为011放最右边,5化…

使用 React 和 ECharts 创建地球模拟扩散和飞线效果

在本博客中,我们将学习如何使用 React 和 ECharts 创建一个酷炫的地球模拟扩散效果。我们将使用 ECharts 作为可视化库,以及 React 来构建我们的应用。地球贴图在文章的结尾。 最终效果 准备工作 首先,确保你已经安装了 React,并…