企業應如何落地軟件供應鏈安全治理和運營策略?
8月2日,ISC 2022互聯網安全大會軟件供應鏈安全治理與運營論壇在ISC元宇宙N世界中舉辦。作為本場分論壇的出品人,懸鏡安全與大會主辦方一同邀請來了多位軟件供應鏈安全領域的安全專家、業界領袖、企業代表和技術精英,就各行業對軟件供應鏈安全治理與運營理念的創新實踐進行分享與探討。
近年來,隨著企業數字化轉型進程的加快,軟件正成為社會運轉的基本組件。但是開源主導的開發方式以及云原生的普及,使得軟件供應鏈安全愈演愈烈,威脅著全球各行各業的用戶。
圍繞軟件供應鏈安全相關話題,在論壇最后的圓桌環節,安全419創始人張毅作為圓桌主持人,與來自信創、金融、云計算等領域的多家龍頭企業技術負責人展開了圓桌對話,邀請各位嘉賓分享了自身軟件供應鏈安全建設實踐經驗,并深入探討了軟件供應鏈安全發展的新模式和新未來。
企業應如何落地軟件供應鏈安全治理和運營策略?
近兩年來不斷爆發的SolarWinds和Log4j2等軟件供應鏈安全事件為全球各行業帶來了強烈沖擊,軟件供應鏈安全也一舉成為了全球焦點。企業界如何看待這一系列軟件供應鏈安全事件所造成的影響?又從這些事件中得到了哪些啟示?企業在軟件供應鏈安全方面究竟面臨哪些核心痛點?又應該軟件供應鏈安全治理策略落地?主持人張毅就這一系列問題與各位嘉賓進行了交流。
東方通集團副總裁兼北京東方通軟件有限公司副總經理朱木林分享到,log4j2在軟件界被視為一次核爆事件,開源軟件的安全性已經成為了一個全球性話題,業內統計,自開源軟件誕生后,有98%的企業都在應用中引用了開源代碼和開源組件。但事實上,軟件開發是無法離開開源軟件的,隨著數字化應用的蓬勃發展,開發人員的編碼方式也隨之改變,繼續重復造輪子寫基礎函數和代碼早已經成為了過去。因此他認為,一味回避開源軟件并不可取,軟件供應鏈安全治理仍然應該聚焦在加強對流程、質量的把控方面。
平安壹錢包安全DevSecOps運營負責人汪永輝認為,當前行業所面臨的軟件供應鏈安全的核心痛點仍然是研發人員安全意識薄弱,沒有真正認識到軟件供應鏈安全的重要性。他談到,此前研發人員通常會認為引入的開源組件并不是自己編寫的,其安全風險和責任與己無關。但在一系列安全事件爆發后,業內對軟件供應鏈安全性才真正引起了重視。
汪永輝同時也分享了自身企業的相關實踐,他介紹,平安壹錢包將近百個開源組件進行了安全分類分級管理,并對漏洞、許可證等開源安全風險進行了常態化治理,通過引入第三方商業工具識別可能存在的安全隱患,將相關隱患推送到相關研發部門,推動研發人員對存量漏洞和新增相關風險進行修復,最終從業務層面加入考核機制,最終倒逼安全水平得到有效提升。
圍繞相關實踐落地經驗,中興通訊開源合規兼安全治理總監項曙明也就這一話題進行了分享,他表示,除了加強研發人員安全意識教育外,中興通訊在高效產品研發的流程基礎上,把原來流程中的安全相關的短板進行了補齊,將開源軟件應用規范性相關要求進行了完善。在引入開源軟件前,中興通訊將第三方開源軟件全生命周期管理的相關要求補充到了IT管理的流程中,建立了一個獨立的庫將相關開源軟件納入了管控中,通過多種方式管控開源軟件風險的引入。在開源軟件正式引入后,中興通訊也在從工程能力方面著手管控風險,目前正在嘗試通過SASE方案來持續推動可信開源軟件管控的建設。
DevSecOps和軟件供應鏈安全會是下一個安全風口嗎?
隨著數字化轉型加速,進入云原生時代,未來DevSecOps和軟件供應鏈安全會如何發展?在圓桌研討最后,主持人張毅邀請各位專家就軟件供應鏈安全未來發展趨勢分享了自身的觀點和思考。
博云科技副總經理、董事靳亮認為,當前企業的科技部門的IT團隊自身正在面臨著云原生和數字化轉型的需求,在這個過程中安全是不可或缺的一環,而DevSecOps從DevOps誕生之時就是伴生的,因此DevSecOps未來的蓬勃發展將是必然趨勢。
用友集團網絡安全部總經理李強認同了靳亮的觀點,他表示,正如DevSecOps和DevOps的起承關系一樣,供應鏈安全問題自從軟件誕生的那一刻起就始終存在,受到當前日益嚴峻的安全形勢的影響,國家才逐漸把供應鏈安全提到了一個全新的高度。事實上除了開源軟件之外,包括其他任何引入的第三方軟件、接入的合作伙伴系統都是供應鏈安全管理的構成部分。因此供應鏈安全的范疇囊括了包括軟件廠商和安全廠商,所有人都會面臨著巨大的轉型和發展機會。
項曙明認為,當前技術的發展日新月異,尤其是在云原生時代下,打造供應鏈級的軟件產品已經成為了企業生存和發展的必然條件,只有擁抱開源、擁抱軟件供應鏈的管控才能在數字化浪潮中迎來發展機遇。
朱木林最后談到,隨著軟件開發安全受重視程度的不斷提高,當下無論是何種應用場景下的軟件生產企業,都已經開始嘗試融入供應鏈管控的措施或者商業工具對風險加以治理。在軟件真正在客戶業務中上線前,無論是傳統架構還是云原生架構下,軟件從底層到應用層都會介入安全措施,這意味著當前做軟件供應鏈安全治理已經在軟件行業內形成了共識。
因此他認為,嚴峻的安全對抗形勢必然會刺激整體行業的發展,網絡安全自身的特性決定了它是一個不斷迭代的螺旋式上升的過程。可以預測的是,未來將有一大批技術創新型的安全企業從中脫穎而出,同時也將會有一些優秀安全從業者登上時代舞臺,DevSecOps和軟件供應鏈安全必將乘風而起。
