墨菲安全在软件供应链安全领域阶段性总结及思考

向外看:墨菲安全在软件供应链安全领域的一些洞察、思考、行动

洞察

现状&挑战:

  1. 过去开发安全体系是无法解决软件供应链安全问题的;
  2. 一些过去专注开发安全领域的厂商正在错误的引导行业用开发安全思维解决软件供应链安全问题,治标不治本;
  3. 这导致行业(安全厂商/企业/监管)大部分人对于软件供应链安全仍然缺乏理性的认知;
  4. 过去以开发安全为主营业务的安全厂商将越来越无法适应软件供应链安全领域日益成熟的市场需求;

正在发生的:

  1. 一些行业头部客户及先行者已经在以新的思路思考软件供应链安全问题并付诸实践;
  2. 一些行业监管部门对软件供应链安全领域重视度非常高且视野非常开阔,并且正在付诸行动;
  3. 墨菲安全的理念和解决方案正在互联网、金融、运营商、能源及央国企的一些头部客户中被广泛接受;
  4. 一些行业的先行者已经在软件供应链领域的开源安全治理方向实现成熟实践

思考

为什么这么说?

一个行业越成熟,那么其生产过程中供应链体系就越完善和标准化,比较典型的案例就是汽车的生产和制造;

以汽车生产和制造为例,这个行业非常成熟,因此其供应链体系也相当完善和标准化。以下是一些具体的表现:

  1. 供应商网络:汽车生产和制造需要大量的零部件和原材料,因此汽车公司通常会与一系列供应商建立长期合作关系。这些供应商通常会遵循行业标准和规范,以确保零部件的质量和交货时间。
  2. 物流和运输:汽车生产和制造需要高效的物流和运输系统,以确保零部件和产品的及时交付。随着行业的成熟,物流和运输体系也会变得更加标准化,从而提高效率。
  3. 质量管理:汽车生产和制造需要严格管理生产制造过程中引入各个组件的质量,以确保最终产品的质量和安全性。从确定需求标准联系供应厂商,到试生产验证和正式生产验收交付,都需要组件达标。随着行业的成熟,质量管理标准也会更加严格和规范。
  4. 信息技术:随着信息技术的发展,许多汽车生产和制造公司已经开始采用物联网、大数据、人工智能等先进技术来优化供应链管理,提高生产效率和质量。

总的来说,随着汽车生产和制造行业的成熟,其供应链体系也会变得更加完善和标准化。这不仅可以提高生产效率和质量,还可以降低成本和风险。

反观,今天企业软件应用的生产过程正在经历这么一个逐渐走向成熟的过程,据权威数据统计目前各行业企业的软件应用大概来自供应链的成分占比超过90%,据工信部数据显示2022年全国软件及信息化相关服务市场规模超过10万亿,到2028年还将翻一番来到20万亿,而当前软件产业链在安全上的投入恐怕连0.1%(100亿)都不到,这里面未来发展的空间非常大。

而从当下实际情况来看,我们的软件供应链体系非常缺乏全过程的安全质量管理,这就导致今天我们看到的每天都会爆出大量通用软件的0day漏洞及投毒事件,且大部分软件在爆出这些漏洞后并没有得到妥善的处置,软件供应商无法及时通知他们的企业客户去妥善处置,进而导致使用这些供应商软件的企业客户被入侵、数据泄露、加密勒索、攻防演练期间被攻破等,过去几年比较典型的就是Solarwinds事件、工商银行美国子公司被攻击事件等。

今天软件供应链体系的安全质量管理问题到底出在哪?我认为主要有以下几个方面的问题:

  1. 企业的软件应用开发过程引入了大量免费的开源软件,开源软件出现安全问题责任认定是不清晰的;
  2. 软件应用的迭代频度非常高,且缺乏严格的管理标准;
  3. 企业和商业软件供应商之间的责任边界不清晰,企业缺乏对商业软件供应商的成熟管理体系;
  4. 行业缺乏对软件供应体系的严格监管(包括标准/评估体系/执法监管);
  5. 行业缺乏成熟且被广泛认可的软件供应链安全成熟产品及解决方案;

而以上五个核心问题的思考和解决,都与传统的开发安全治理有着巨大的差异,我们必须逐个认证分析并深入解决。传统的开发安全体系(SDL/DevSecOps)更多的关注的是软件研发过程中的安全管控,但是实际上软件供应链安全要贯穿软件从生产、分发、应用、持续更新等全过程的管理。

行动及成果

  • 墨菲安全软件供应链商业化产品推出一年,正式签约覆盖互联网、运营商、金融、能源等领域超过50家头部企业

墨菲安全已签约的部分标杆客户(以上排名不分先后)

  • 推出了软件供应链安全平台商业正式版v3,其性能和特性可与全球领先的软件供应链安全厂商刚正面
  • “也许是”全球首个在线开源软件供应链安全技术社区(OSCS),向超3000家企业提供免费的软件供应链情报服务
  • “也许是”国内首个免费软件供应链安全平台产品(murphysec.com),服务超6000家企业的软件应用开发流程的安全保障

向内看:墨菲安全产品及团队快速迭代,赋能推动软件供应链安全体系发展

关于产品:

  • 1+3:1个软件供应链安全平台,3大核心产品覆盖包括开源安全治理、许可证合规、0day漏洞及投毒预警、国家大型攻防演练防护等软件供应链安全治理的八大场景
  • 2年的时间,墨菲安全软件供应链安全平台从v1.0版本已经来到v3.0的成熟版本,并且仍然以两周一个迭代快速提升
  • 签约才是产品服务的开始的理念,持续为客户提供可靠的服务

关于核心技术:

  • “也许是”全球首个专业软件供应链安全知识库(SRKB),覆盖软件供应链漏洞、投毒情报、许可证合规、软件健康度、软件可信等数十个维度的专业数据
  • 知识库赋能数十家头部企业客户,成为他们安全建设的基础必备能力

关于团队:

  • 前梆梆安全COO周欣加盟,搭建成熟的市场营销团队,高效赋能和服务客户
  • 五个联创在知识库能力、工程技术、产品、解决方案及社区运营方面都构建了一个成熟稳定的团队,助力墨菲安全的产品及技术体系快速迭代

关于荣誉及资质:

  • 国高新
  • CCRC
  • CNNVD支撑单位
  • 入选ISC数字安全创新能力百强
  • 入选网络安全优质初创企业HOT50

展望未来:过程是曲折的,未来是光明的

1. 坚定看好软件供应链安全方向机会:

  • 成熟软件行业需要成熟的软件供应链体系
  • 成熟的软件供应链体系极其缺乏成熟的安全质量管理,这就是未来十年最大的机会

2. 看长,toB没有捷径,坚定坚持埋头积累10~20年,你就是市场上最强的,相信时间的复利

  • 软件供应链相比传统汽车等制造业的供应链来说,复杂度高了好几个数量级
  • 没有任何一种单一通用的方法能解决软件供应链安全的所有问题
  • 需要持续积累和迭代软件风险知识库、软件分析能力、软件供应链管理体系

3. 2024年将会有越来越多的企业开展软件供应链安全治理

  • 一方面因为近几年软件供应链安全事件频发,包括国家级的攻防演练中发现的大部分安全问题都是来自供应链
  • 另外一方面,互联网、金融、运营商越来越多头部企业已经开展软件供应链安全治理并且获得最佳实践
  • 此外,行业已经有成熟的软件供应链安全产品及技术解决方案可支撑企业快速落地

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/284408.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

人事管理系统设计与实现|jsp+ Mysql+Java+ B/S结构(可运行源码+数据库+设计文档)

本项目包含可运行源码数据库LW调试部署环境,文末可获取本项目的所有资料。 推荐阅读100套最新项目 最新ssmjava项目文档视频演示可运行源码分享 最新jspjava项目文档视频演示可运行源码分享 最新Spring Boot项目文档视频演示可运行源码分享 2024年56套包含java…

双指针算法:三数之和

文章目录 一、[题目链接&#xff1a;三数之和](https://leetcode.cn/problems/3sum/submissions/515727749/)二、思路讲解三、代码演示 先赞后看&#xff0c;养成习惯&#xff01;&#xff01;&#xff01;^ _ ^<3 ❤️ ❤️ ❤️ 码字不易&#xff0c;大家的支持就是我坚持…

jmeter使用方法---自动化测试

HTTP信息头管理器 一个http请求会发送请求到服务器&#xff0c;请求里面包含&#xff1a;请求头、请求正文、请求体&#xff0c;请求头就是信息头Authorization头的主要用作http协议的认证。 Authorization的作用是当客户端访问受口令保护时&#xff0c;服务器端会发送401状态…

【RPG Maker MV 仿新仙剑 战斗场景UI (八)】

RPG Maker MV 仿新仙剑 战斗场景UI 八 状态及装备场景代码效果 状态及装备场景 本计划在战斗场景中直接制作的&#xff0c;但考虑到在战斗场景中加入太多的窗口这不太合适&#xff0c;操作也繁琐&#xff0c;因此直接使用其他场景。 代码 Pal_Window_EquipStatus.prototype.…

TXT文件内容轻松整理,一键删除文本里的多个内容,轻松整理文档!

在数字化时代&#xff0c;TXT文件已成为我们日常工作和学习的常见文档格式。然而&#xff0c;随着时间的推移&#xff0c;这些文档中可能会积累大量的冗余内容&#xff0c;如重复的文字、无用的注释或不必要的空格。手动删除这些内容不仅费时费力&#xff0c;还可能遗漏或误删重…

【高并发服务器 01】—— 基础知识回顾

接下来四周时间&#xff0c;我将会做一个高并发服务器相关的项目。 前置知识&#xff1a;操作系统系统编程、网络编程、基础的数据结构、C语言。 开发环境&#xff1a;VMware虚拟机&#xff1a;Ubuntu 20.04.6 LTS、vscode 今天先回顾一些基础知识。 1.文件与IO 标准IO&#…

uni-app从零开始快速入门

教程介绍 跨端框架uni-app作为新起之秀&#xff0c;在不到两年的时间内&#xff0c;迅速被广大开发者青睐和推崇&#xff0c;得益于它颠覆性的优势“快”&#xff0c;快到可以节省7套代码。本课程由uni-app开发者团队成员亲授&#xff0c;带领大家无障碍快速掌握完整的uni-app…

pandas的综合练习

事先说明&#xff1a; 由于每次都要导入库和处理中文乱码问题&#xff0c;我都是在最前面先写好&#xff0c;后面的代码就不在写了。要是copy到自己本地的话&#xff0c;就要把下面的代码也copy下。 # 准备工作import pandas as pd import numpy as np from matplotlib impor…

linux源配置:ubuntu、centos;lspci与lsmod命令区别

1、ubuntu源配置 1&#xff09;先查电脑版本型号: lsb_release -c2&#xff09;再编辑源更新&#xff0c;源要与上面型号对应 参考&#xff1a;https://midoq.github.io/2022/05/30/Ubuntu20-04%E6%9B%B4%E6%8D%A2%E5%9B%BD%E5%86%85%E9%95%9C%E5%83%8F%E6%BA%90/ /etc/apt/…

【Docker】golang操作容器使用rename动态更新容器的名字

【Docker】golang操作容器使用rename动态更新容器的名字 大家好 我是寸铁&#x1f44a; 总结了一篇golang操作容器使用rename动态更新容器的名字✨ 喜欢的小伙伴可以点点关注 &#x1f49d; 前言 今天遇到一个新的需求&#xff0c;要动态改变运行中的容器名字。 可以考虑先把…

数据结构/C++:哈希表

数据结构/C&#xff1a;哈希表 哈希表概念哈希函数直接定址法除留余数法 哈希冲突闭散列 - 开放定址法基本结构查找插入删除总代码展示 开散列 - 哈希桶基本结构查找插入删除代码展示 哈希表概念 在顺序表中&#xff0c;查找一个数据的时间复杂度为O(N)&#xff1b;在平衡树这…

数据仓库相关概述

数据仓库概述 数据仓库概念 数据仓库是一个为数据分析而设计的企业级数据管理系统。数据仓库可集中、整合多个信息源的大量数据&#xff0c;借助数据仓库的分析能力&#xff0c;企业可从数据中获得宝贵的信息进而改进决策。同时&#xff0c;随着时间的推移&#xff0c;数据仓…

3个Tips,用“AI”开启新生活

相信最近&#xff0c;很多朋友们都回归到了忙碌的生活节奏中。生活模式的切换&#xff0c;或多或少会带来身体或情绪状况的起伏。新技术正在为人们生活的方方面面带来便利。3个小Tips或许能让你也从新技术中获益&#xff0c;从身到心&#xff0c;用“AI”开启新生活。 关”A…

【Linux杂货铺】进程控制

目录 &#x1f308;前言&#x1f308; &#x1f4c1; 进程创建 &#x1f4c2; fork函数 &#x1f4c2; 写实拷贝 &#x1f4c2; 创建进程的目的 &#x1f4c2; 创建失败原因 &#x1f4c1; 进程终止 &#x1f4c2; 概念 &#x1f4c2; 场景 &#x1f4c2; 退出方法 …

使用React搭建single-spa

自己搭建的Demo GitHub - ftao123/single-spa-react-demo: single-spa-react-demo 修改子应用的webpack配置 library: "app2"和libraryTarget: "umd"配置必须添加。 可以看到filename在开发环境下的地址是static/js/bundle.js&#xff0c;所以我们主应用…

【Delphi JCL库文件解剖 1】库文件的大体脉络

JCL库是一个开源的Delphi库文件,下载到它很容易,可是想能灵活运用它却并不容易。下面是这个库文件的大体文件脉络,咱们要分析的核心还是在 source 源代码文件。 bin - 示例应用程序可执行文件的常见位置 docs - 读…

JavaEE-文件操作和IO

我们先来认识狭义上的⽂件(file)。针对硬盘这种持久化存储的I/O设备&#xff0c;当我们想要进⾏数据保存时&#xff0c;往往不是保存成⼀个整体&#xff0c;⽽是独⽴成⼀个个的单位进⾏保存&#xff0c;这个独⽴的单位就被抽象成⽂件的概念&#xff0c;就类似办公桌上的⼀份份真…

Java程序设计 4、5章 练习题

一、填空题 1.假设有 String s1 "Welcome to Java"; String s2 s1; String s3 new String("Welcome to Java"); 那么下面表达式的结果是什么&#xff1f; (1) s1 s2 ___________true_______________ (2) s1 s3 ______…

C++ Thread 源码 观后 自我感悟 整理

Thread的主要数据成员为_Thr 里面存储的是线程句柄和线程ID 先看看赋值运算符的移动构造 最开始判断线程的ID是否不为0 _STD就是使用std的域 如果线程ID不为0&#xff0c;那么就抛出异常 这里_New_val使用了完美转发&#xff0c;交换_Val和_New_val的值 _Thr _STD exchange(_…

【动手学深度学习】深入浅出深度学习之PyTorch基础

目录 一、实验目的 二、实验准备 三、实验内容 1. 数据操作 2. 数据预处理 3. 线性代数 4. 微积分 5. 自动微分 四、实验心得 一、实验目的 &#xff08;1&#xff09;正确理解深度学习所需的数学知识&#xff1b; &#xff08;2&#xff09;学习一些关于数据的实用…