首頁|必讀|視頻|專訪|運(yùn)營|制造|監(jiān)管|大數(shù)據(jù)|物聯(lián)網(wǎng)|量子|元宇宙|博客|特約記者
手機(jī)|互聯(lián)網(wǎng)|IT|5G|光通信|人工智能|云計(jì)算|芯片報(bào)告|智慧城市|移動互聯(lián)網(wǎng)|會展
首頁 >> 技術(shù) >> 正文

新思科技助力加速軟件產(chǎn)業(yè)鏈現(xiàn)代化發(fā)展 夯實(shí)安全基礎(chǔ),提升“軟實(shí)力”

2022年7月12日 15:06  CCTIME飛象網(wǎng)  

飛象網(wǎng)訊 人工智能、云計(jì)算、大數(shù)據(jù)等技術(shù)的核心都是軟件,可以說軟件是新一代信息技術(shù)的底座。在中國《“十四五”軟件和信息技術(shù)服務(wù)業(yè)發(fā)展規(guī)劃》中重點(diǎn)突出了開源相關(guān)內(nèi)容。開源能加速軟件迭代升級,推動產(chǎn)業(yè)生態(tài)完善。因此,做好開源治理,才能有效提升“軟實(shí)力”。

隨著中國數(shù)字化轉(zhuǎn)型進(jìn)程穩(wěn)步推進(jìn),軟件已經(jīng)成為業(yè)務(wù)運(yùn)營的必備要素之一,并滲透到幾乎所有的重要行業(yè)和領(lǐng)域。同時(shí),軟件設(shè)計(jì)開發(fā)愈加復(fù)雜,軟件供應(yīng)鏈安全防護(hù)難度持續(xù)加大。新思科技(Synopsys)指出,軟件供應(yīng)鏈安全直接關(guān)系到關(guān)鍵基礎(chǔ)設(shè)施安全,影響著企業(yè)發(fā)展和普通民眾的生活。促進(jìn)軟件供應(yīng)鏈安全成為社會的關(guān)注焦點(diǎn)。提起軟件供應(yīng)鏈,不得不提開源組件,因?yàn)殚_源組件在現(xiàn)代軟件開發(fā)中可以說是無處不在。

新思科技開源治理專家王永雷表示:“《開源安全和風(fēng)險(xiǎn)分析》報(bào)告(OSSRA)顯示,被審計(jì)的代碼庫中開源代碼比例從2016年的36%增加到2021年的78%?梢,軟件繼續(xù)引領(lǐng)世界,開源引領(lǐng)軟件。近年來,開源安全問題頻發(fā),比如黑客利用Docker鏡像的攻擊、開發(fā)人員蓄意破壞開源庫等, Apache Log4j程序中發(fā)現(xiàn)的零日漏洞更是業(yè)界的‘核爆級’事件。提升開源軟件治理水平,才可以幫助企業(yè)保障軟件供應(yīng)鏈安全。”  

王永雷指出開源軟件治理水平主要分成四個(gè)階段。

自發(fā)式開源治理,有意識地去修復(fù)開源漏洞

新思科技在《保護(hù)供應(yīng)鏈安全的六個(gè)考慮因素》白皮書中強(qiáng)調(diào)“您有責(zé)任跟蹤供應(yīng)鏈中的開源組件、許可證和漏洞及其相關(guān)風(fēng)險(xiǎn)”。

很多企業(yè)都是在使用開源組件的過程中發(fā)現(xiàn)存在安全漏洞,才去進(jìn)行治理工作。甚至有時(shí)候企業(yè)的客戶已經(jīng)受到了開源漏洞的影響,才進(jìn)行補(bǔ)救工作。這樣的開源治理處于起步的階段。

對于軟件供應(yīng)鏈而言,整個(gè)過程中所涉及的每個(gè)組件、人員、活動、材料或程序都會對最終產(chǎn)品及其用戶產(chǎn)生影響。企業(yè)應(yīng)該在開發(fā)、測試、生產(chǎn)等各個(gè)環(huán)節(jié)進(jìn)行開源治理。而開源治理的范圍和維度等可以根據(jù)開源組件使用的廣度和深度而調(diào)整,應(yīng)該是一個(gè)動態(tài)、系統(tǒng)化的管理。

積極引入工具和流程規(guī)范,進(jìn)行綜合治理

開發(fā)人員可能會無意地將包含有風(fēng)險(xiǎn)的開源組件引入其項(xiàng)目之中。但這通常不會引起注意。隨著開源使用越來越多,治理也越來越復(fù)雜。因此,企業(yè)需要引入自動化工具和流程規(guī)范,以進(jìn)行綜合治理,提升開源治理的效率。

但是,往往這種治理只停留在開發(fā)團(tuán)隊(duì),并沒有推廣到整個(gè)公司。開源風(fēng)險(xiǎn)不止是安全漏洞,還包括監(jiān)管合規(guī)風(fēng)險(xiǎn)、版權(quán)侵權(quán)、運(yùn)營風(fēng)險(xiǎn)等等。妥善管控這些風(fēng)險(xiǎn)需要多部門協(xié)作,進(jìn)行戰(zhàn)略性管理。

建立可信的開源自動化合規(guī)、安全治理平臺

新思科技Black Duck軟件組成分析在中國已經(jīng)擁有了廣泛的用戶群。根據(jù)多年的經(jīng)驗(yàn),新思科技看到中國企業(yè)越來越注重版權(quán)和合規(guī),而且已經(jīng)從被動式的治理轉(zhuǎn)向主動式的治理。

主動式開源治理最重要的一點(diǎn)是需要企業(yè)高層對此予以重視和支持,并且自上而下地打破壁壘。有的企業(yè)成立了“開源辦公室”,匯集法務(wù)、安全和技術(shù)等專家,提供一攬子指導(dǎo),推動落實(shí)最佳實(shí)踐,形成良性的互動。通常,企業(yè)會建立一個(gè)自動化的開源合規(guī)、安全治理平臺,相關(guān)人員可以在這個(gè)統(tǒng)一的平臺上進(jìn)行協(xié)作,比如利用開源工具對正在開發(fā)的軟件進(jìn)行自動化掃描。

借助評估標(biāo)準(zhǔn)的度量,持續(xù)提升開源軟件治理水平

無論是開源治理還是其它軟件安全計(jì)劃,都需要一個(gè)標(biāo)尺來衡量成果。度量的內(nèi)容包括修復(fù)開源組件漏洞的時(shí)間周期;開源組件的高風(fēng)險(xiǎn)的比例;以及不同版本修復(fù)的比例趨勢等。這可以幫助管理團(tuán)隊(duì)做出更好的判斷和決策,以查漏補(bǔ)缺,持續(xù)提升開源組件的安全性和合規(guī)性。

近年來,開源安全已經(jīng)受到越來越多的重視。相關(guān)行業(yè)機(jī)構(gòu)也發(fā)布了參考標(biāo)準(zhǔn)和指南,幫助企業(yè)有序、有效地管理開源組件。中國信息通信研究院(以下簡稱“信通院”)牽頭編寫了一系列開源安全相關(guān)的報(bào)告,包括近期發(fā)布的《開源安全深度觀察報(bào)告》和《開源合規(guī)指南(企業(yè)版)》。新思科技是兩份報(bào)告的參編單位之一。

《開源安全深度觀察報(bào)告》梳理了主流的開源安全風(fēng)險(xiǎn),從開源社區(qū)和開源用戶兩個(gè)角度提供開源安全的防范建議;《開源合規(guī)指南(企業(yè)版)》側(cè)重研究國內(nèi)外開源合規(guī)發(fā)展現(xiàn)狀,通過分享理論知識與優(yōu)秀實(shí)踐,旨在幫助企業(yè)提升內(nèi)部開源合規(guī)管控能力。

新思科技中國區(qū)軟件應(yīng)用安全技術(shù)總監(jiān)楊國梁總結(jié)道:“軟件定義創(chuàng)新活力,安全是根基。中國工業(yè)和信息化部印發(fā)的《“十四五”軟件和信息技術(shù)服務(wù)業(yè)發(fā)展規(guī)劃》也明確了提升軟件產(chǎn)業(yè)鏈現(xiàn)代化水平的要求。作為軟件供應(yīng)鏈的重要一環(huán),開源安全對產(chǎn)業(yè)鏈升級的影響舉足輕重。當(dāng)然,提升開源治理水平不會一蹴而就,不能僅僅依靠一項(xiàng)技術(shù)或者某個(gè)流程就能快速實(shí)現(xiàn)。這是一個(gè)系統(tǒng)化工程,需要整體策略,從企業(yè)文化、開源工具、標(biāo)準(zhǔn)等多個(gè)方面循序漸進(jìn)。隨著開源治理水平的提高,企業(yè)可以有效規(guī)避風(fēng)險(xiǎn),促進(jìn)供應(yīng)鏈安全。”

編 輯:章芳
聲明:刊載本文目的在于傳播更多行業(yè)信息,本站只提供參考并不構(gòu)成任何投資及應(yīng)用建議。如網(wǎng)站內(nèi)容涉及作品版權(quán)和其它問題,請?jiān)?0日內(nèi)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除內(nèi)容。本站聯(lián)系電話為86-010-87765777,郵件后綴為#cctime.com,冒充本站員工以任何其他聯(lián)系方式,進(jìn)行的“內(nèi)容核實(shí)”、“商務(wù)聯(lián)系”等行為,均不能代表本站。本站擁有對此聲明的最終解釋權(quán)。
相關(guān)新聞              
 
人物
工信部張?jiān)泼鳎捍蟛糠謬倚聞澐至酥蓄l段6G頻譜資源
精彩專題
專題丨“汛”速出動 共筑信息保障堤壩
2023MWC上海世界移動通信大會
中國5G商用四周年
2023年中國國際信息通信展覽會
CCTIME推薦
關(guān)于我們 | 廣告報(bào)價(jià) | 聯(lián)系我們 | 隱私聲明 | 本站地圖
CCTIME飛象網(wǎng) CopyRight © 2007-2024 By CCTIME.COM
京ICP備08004280號-1  電信與信息服務(wù)業(yè)務(wù)經(jīng)營許可證080234號 京公網(wǎng)安備110105000771號
公司名稱: 北京飛象互動文化傳媒有限公司
未經(jīng)書面許可,禁止轉(zhuǎn)載、摘編、復(fù)制、鏡像