智能數據治理平臺

睿治作為國內功能最全的數據治理產品之一，入選IDC企業數據治理實施部署指南。同時，在IDC發布的《中國數據治理市場份額》報告中，連續四年蟬聯數據治理解決方案市場份額第一。

在線免費試用 DEMO體驗視頻介紹

睿治智能數據治理平臺

IDC蟬聯數據治理解決方案市場第一

131頁2022年軟件供應鏈安全治理與運營白皮書

時間：2022-08-26來源：一勺晚安瀏覽數：268次

軟件供應鏈開源化，導致影響軟件全供應鏈的各個環節都不可避免受到開源應用的影響。尤其是開源應用的安全性問題，將直接影響采用開源應用的相應軟件供應鏈的安全。除了開源應用開發者因疏忽導致的開源應用安全缺陷，還可能存在具有非法目的開發者故意預留的開源應用安全缺陷，甚至還有惡意攻擊者偽造的含有隱藏性惡意功能的異常行為代碼被故意上傳到上游開源代碼托管平臺，實施定向軟件供應鏈攻擊。

數字化時代，軟件定義萬物，已逐漸成為支撐社會正常運轉的最基本元素之一。隨著軟件開發過程中開源應用的使用越來越多，開源應用事實上逐漸成為了軟件開發的核心基礎設施，混源軟件開發也已成為現代應用主要軟件開發交付方式，開源應用的安全問題也已被上升到基礎設施安全和國家安全的高度來對待。

而現代軟件應用的供應鏈非常復雜，軟件供應鏈安全管理是一個系統工程，亟需從國家、行業、機構、企業各個層面建立軟件供應鏈安全風險的發現能力、分析能力、處置能力、防護能力，整體提升軟件供應鏈安全管理的水平。為此，需要開展全方位的軟件供應鏈安全檢測防御方法和技術研究。第一，開展軟件成分動態分析及開源應用缺陷智能檢測技術研究，突破高效高準確性的開源應用安全缺陷動態檢測技術的瓶頸，解決基于全代碼遍歷和代碼片段級克隆技術比對的應用安全檢測難題，進一步實現對全球開源應用的全面安全檢測，從源頭堵住軟件供應鏈安全隱患的源頭。第二，建立全球開源應用的傳播態勢感知和預警機制，攻克軟件供應鏈中軟件來源多態追蹤技術，實現對供應鏈各環節中軟件來源的溯源機制。通過軟件來源多態追蹤技術監控開源應用的使用傳播和分布部署態勢，全面把握有缺陷的開源應用傳播和使用渠道，實現對全球開源應用及其安全缺陷的預測預警。第三，建立國家級/行業級軟件供應鏈安全監測與管控平臺，具備系統化、規模化的軟件源代碼缺陷和異常行為代碼分析、軟件漏洞分析、開源軟件成分及風險分析等關鍵能力，為關鍵基礎設施、重要信息系統用戶提供日常的自查服務，及時發現和處置軟件供應鏈安全風險。第四，嚴格管控軟件供應鏈上游，尤其重點管控開源應用的使用，積極推動代碼疫苗、SCA、區塊鏈和SBOM等新技術和標準在軟件供應鏈安全領域的推廣和應用，從根本上提供軟件供應鏈安全的可靠保障。