墨菲安全参与信息通信软件供应链安全社区成员大会并获自主研发创新成果奖

2023年2月16日,首届ICT软件供应链安全治理论坛暨信息通信软件供应链安全社区第二届成员大会在北京成功举办,多位业界顶级专家与工业和信息化部网络安全管理局相关领导出席,为现场观众分享了关于软件供应链可持续性与安全治理行业的前瞻与思考。会议期间,墨菲安全自主研发的【软件供应链安全管理平台】授予了自主研发创新成果奖。会议下午,墨菲安全协助中国移动举办分会场论坛《推进标准体系建设与评估 保证软件供应链安全可信》,墨菲安全联合创始人在现场带来了精彩技术分享,赢得了现场专家及企业代表的好评。

墨菲安全参与信息通信软件供应链安全社区成员大会并获自主研发创新成果奖

大会现场举行了颁奖仪式,墨菲安全【软件供应链安全管理平台】荣获自主研发创新成果奖。

墨菲安全参与信息通信软件供应链安全社区成员大会并获自主研发创新成果奖
墨菲安全参与信息通信软件供应链安全社区成员大会并获自主研发创新成果奖

当日下午分会场,墨菲安全协助中国移动举办分会场论坛《推进标准体系建设与评估 保证软件供应链安全可信》,墨菲安全联合创始人兼实验室负责人欧阳强斌带来分享软件供应链漏洞及投毒情报在合规场景中的应用》。分享基于 《信息安全技术软件供应链安全要求》国家标准(已于2022年发布征求意见稿),深度剖析了漏洞利用与软件后门植入风险,以及如何通过情报提高风险应对能力,帮助企业满足合规要求。

《信息安全技术软件供应链安全要求》可能成为未来软件供应链安全合规的基本要求,其中提到了10类风险,漏洞利用和软件后门植入是重点关注的风险。从软件供应链的角度来看,依赖的开源组件、部署的开源应用以及使用的商业软件是三类典型的漏洞利用风险引入场景。在标准中针对软件后门植入的风险又细分为供方预留的后门以及攻击者恶意植入的场景,从历史案例来看,软件产品后门以及在通信行业中大量涉及到的路由器、防火墙等网络设备存在较大的后门隐患;在攻击者恶意植入后门的场景中,还存在着2022年NPM中存在着faker.js和node-ipc这样典型的热门组件开发者化身攻击者在代码中加入恶意逻辑的事件。

在《信息安全技术软件供应链安全要求》中对于这些风险要求:

对开源软件、第三方组件中的漏洞进行修复/缓解

  • 需方应要求供方承诺所使用的开源软件和第三方组件不存在已公开漏洞未修复的情况,或者对于存在已公开漏洞未修复的情况,但经过评估后存在补救措施的,提供相应的安全分析报告;

不得在软件产品中设置后门

  • 需方应要求供方不在软件产品中设置后门,或利用软件产品的便利条件非法获取用户数据、控制和操纵用户系统和设备,不会利用软件产品的依赖性谋取不正当利益,不得在未授权情况下对软件产品进行升级或更新换代;

开展检测评估

  • 需方应明确开展软件产品或服务的功能、性能及安全风险检测评估等要求,明确检测评估的范围,包括但不限于软件资产识别、漏洞、后门、渗透测试等,涉及第三方机构的应明确第三方机构的资质能力;

持续监测,及时发现风险

  • 供需双方应根据协议形成常态化风险监测机制,及时发现并处置软件中断供应、停止授权、停止提供产品升级等持续供应风险,漏洞、后门等技术安全风险和信息泄露、数据篡改等数据安全风险;

针对这样的风险,通过以漏洞情报、投毒情报为代表的情报数据,能够帮助企业实现三类种典型控制能力:引入前的准入与卡位,引入中的检测与修复,引入后的风险监测与处置。

在当前漏洞和投毒情报的构建还面临许多挑战,如公开漏洞库的数据不全、质量不高,投毒情报没有公开数据。

墨菲安全在持续建设漏洞和投毒的情报能力,通过自建漏洞库、投毒情报挖掘能力,提供有效的情报能够帮助企业实现风险的事前排查和持续监测,提升安全工程师运营处置效率,实现软件供应链安全合规治理。

墨菲安全参与信息通信软件供应链安全社区成员大会并获自主研发创新成果奖

会议下午,电信分论坛《打造供应链评估体系 应对安全威胁挑战》上,墨菲安全联合创始人兼产品负责人车志远带来分享《覆盖全文件对象的高精检测及自动修复的软件供应链安全技术》

分享围绕企业在依据 SBOM 进行软件供应链安全风险治理时,依赖的全文件类型对象的覆盖能力、高精度的检测能力、自动修复等关键技术能力:

  • 全文件类型对象的覆盖能力解决复杂的供应链软件类型:源代码SBOM分析的难点和技术;二进制SBOM分析的难点和技术及其应用场景。
  • 高精度的检测能力解决了风险检测出现的漏报、误报:从漏洞知识库的精准,难点和技术上切入,以及代码漏洞真实风险评估的业务场景。
  • 自动修复能力解决了风险的修复成本高:版本升级的兼容性问题、代码补丁的生成问题、二进制文件漏洞修复。

详细介绍了软件供应链安全治理依赖的SBOM关键技术的应用场景以及痛点解决,为企业在风险治理的落地上提供建设思路。

墨菲安全参与信息通信软件供应链安全社区成员大会并获自主研发创新成果奖

会议全程期间,墨菲安全展区随时为各位参会者准备了相关资料以及电子版各行业完整资料包,为大家提出的疑问进行介绍和讲解。

墨菲安全参与信息通信软件供应链安全社区成员大会并获自主研发创新成果奖

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。

墨非安全为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。同时产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。目前墨菲安全已经服务包括蚂蚁、平安、快手等在内的数百家企业客户。

官网地址:https://www.murphysec.com/

开源项目:https://github.com/murphysecurity/murphysec

未来,社区将在指导单位的关心和支持下、在社区会员的共同努力下继续蓬勃发展,墨菲安全作为其中一员将努力为软件供应链安全治理贡献自己的一份力量!

发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/hot/4743.html

(0)
上一篇 2023年2月17日 10:31
下一篇 2023年2月20日 11:39

相关推荐

  • 如何排查软件中的使用的开源组件清单?

    软件中为什么会依赖开源组件? 在软件开发的过程中,我们往往会使用一些第三方或者开源的组件,来提供一些基础的功能或者服务,从而简化开发工作,提高效率和质量。例如,我们可能会使用 Apache Commons、Spring Boot、jQuery 等开源组件来实现一些常见的操作,如字符串处理、Web 开发、DOM 操作等。 使用开源组件的好处是显而易见的,它们可…

    2023年7月6日
  • CSO 们关注的软件供应链安全十个关键问题

    写在前面 自从和几个小伙伴一起创办墨菲安全以来,有一年半多的时间了,创业对于我来说,很有意思的一个地方,就是有机会可以和各行各业很多非常有意思的人一起交流,在这个交流的过程中能够不断的提升自己的认知,以我自己创业之前的经历来说,我接触的大多都是互联网和互联网安全这个圈子的人,而现在有很多机会去接触到更多行业的客户和合作伙伴,可以有机会去了解不同行业的业务、安…

    2023年6月27日
  • SBOM清单是什么?

    引言 你是否知道你使用的软件都是由哪些组件构成的?你是否了解这些组件的来源、版本、许可证和安全状况?如果你是一个软件开发者或者供应链管理者,你是否能够追踪和管理你的软件产品中包含的所有组件?在当今的软件行业,这些问题都是非常重要和紧迫的。为了提高软件供应链的透明度和安全性,我们需要一种工具来帮助我们识别、记录和共享软件组件的相关信息。这就是SBOM清单。 S…

    2023年7月7日
  • 软件供应链安全相关监管要求

    引言 软件供应链是指软件从开发到交付到使用的整个过程中涉及的所有组织、人员、活动、资源和技术的集合。软件供应链具有复杂性、动态性、分布性和多样性等特点,涉及多个主体、多个环节、多个层次和多个领域。软件供应链不仅是软件产品和服务的生产者和提供者,也是软件产品和服务的消费者和使用者,构成了一个复杂的网络系统。 软件供应链面临着多方面的安全风险和挑战,如恶意代码植…

    2023年7月14日
  • GitHub集成 MurphySec 实时代码安全检测

    将MurphySec代码安全检测工具集成到GitHub action中,可对每一次代码更新实时进行安全漏洞检测,并快速修复这些安全漏洞。 如果您使用过GitHub Actions 请直接按照第3步开始操作 效果图 未开启请点击Actions启用GitHub Actions 如展示如下图所示表示项目已开启Actions 进入项目页面配置Action权限 点击s…

    2023年7月10日

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

联系我们

400-180-9568

邮件:hi@murphysec.com

工作时间:周一至周五,10:00-19:00,节假日休息

关注公众号

20230105-100741