奇安信兩案例入選信通院2022安全守衛者計劃優秀案例

近日，中國信息通信研究院公布了2022安全守衛者計劃。憑借在軟件供應鏈安全的豐富實踐和技術積累，奇安信申報的“基于DevOps的供應鏈安全實踐”和“開源軟件安全治理體系”獲2022安全守衛者計劃優秀案例。中國信通院還公布了“業務安全推進計劃”成員單位，奇安信集團入選為首批成員單位。

近年來，針對軟件供應鏈的攻擊事件一直呈快速增長態勢。根據奇安信發布的《2021中國軟件供應鏈安全分析報告》數據顯示：國內企業軟件項目100％使用了開源軟件；超8成軟件項目存在已知高危開源軟件漏洞；平均每個軟件項目存在66個已知開源軟件漏洞，15年前的開源軟件漏洞仍然存在于多個軟件項目中。

無所不在的軟件漏洞，成為軟件供應鏈安全的核心威脅。對此，奇安信推出了面向軟件供應鏈安全的整體解決方案，積極推進國內企業軟件供應鏈安全建設。

在浙江移動“基于DevOps的供應鏈安全實踐”案例中，奇安信協助浙江移動建立了供應鏈安全治理和管理體系，并通過奇安信代碼衛士、奇安信開源衛士與浙江移動軟件代碼庫、私服制品庫等研發平臺對接，在研發、測試環節提供源代碼缺陷檢測、開源組件安全檢測，通過工具、技術手段將可以自動化、重復性的安全工作融入到研發體系內，讓安全屬性嵌入到整條流水線，提高軟件質量和供應鏈安全治理水平。

通過項目的落地應用，不僅為浙江移動規范了開源軟件的全生命周期流程，規范供應商的軟件代碼安全開發和準入流程，建立了開源軟件資產管理能力、開源軟件漏洞檢測能力、源代碼審計能力，大幅提升了IT系統供應鏈開源軟件檢測項目覆蓋率，建立開源軟件安全漏洞情報機制、提高了開源軟件的風險排查及響應速度，還在運營商行業開展源代碼檢測、開源軟件治理安全實踐，實現DevOps流程和研發安全融合，為集團總部和其他同行積累了開源軟件治理經驗。

在為某商業銀行打造的“開源軟件安全治理體系”中，奇安信針對用戶的業務和應用需求，搭建了一套B/S架構解決方案開源衛士，構建了開源軟件準入管控、開源軟件資產識別、漏洞及協議風險分析、開源軟件最新漏洞情報監測等四大典型應用場景。

該方案不僅建立了系統-源碼-組件-漏洞情報的關聯關系，以可視化的方式呈現全行開源軟件資產和漏洞臺賬，還在DevSecOps落地場景中對接客戶的開發、測試系統，讓開源衛士無縫融入銀行現有研發流程，實現日常開發自動化檢測，并建立起配套的安全管控流程和制度，方便該銀行更加規范、標準的治理開源軟件安全問題。

相關負責人介紹，本次“安全守衛者計劃”優秀案例征集評選，旨在通過安全產品、解決方案、安全服務的涌現，為企業數字資產安全提供有力保障，提供可靠的生產環境，提高效率，降低風險。

此外，奇安信還作為“業務安全推進計劃”首批成員單位，獲得中國信通院授牌。

據悉，“業務安全推進計劃”由中國信通院牽頭，云計算開源產業聯盟結合產、學、研各方力量籌備成立，目的為通過搭建業務安全創新平臺，推動業務安全產業發展，構建開放的業務安全管理生態。