2023年2月16日,首届ICT软件供应链安全治理论坛暨信息通信软件供应链安全社区第二届成员大会在北京成功举办,多位业界顶级专家与工业和信息化部网络安全管理局相关领导出席,为现场观众分享了关于软件供应链可持续性与安全治理行业的前瞻与思考。会议期间,墨菲安全自主研发的【软件供应链安全管理平台】授予了自主研发创新成果奖。会议下午,墨菲安全协助中国移动举办分会场论坛《推进标准体系建设与评估 保证软件供应链安全可信》,墨菲安全联合创始人在现场带来了精彩技术分享,赢得了现场专家及企业代表的好评。
大会现场举行了颁奖仪式,墨菲安全【软件供应链安全管理平台】荣获自主研发创新成果奖。
当日下午分会场,墨菲安全协助中国移动举办分会场论坛《推进标准体系建设与评估 保证软件供应链安全可信》,墨菲安全联合创始人兼实验室负责人欧阳强斌带来分享《软件供应链漏洞及投毒情报在合规场景中的应用》。分享基于 《信息安全技术软件供应链安全要求》国家标准(已于2022年发布征求意见稿),深度剖析了漏洞利用与软件后门植入风险,以及如何通过情报提高风险应对能力,帮助企业满足合规要求。
《信息安全技术软件供应链安全要求》可能成为未来软件供应链安全合规的基本要求,其中提到了10类风险,漏洞利用和软件后门植入是重点关注的风险。从软件供应链的角度来看,依赖的开源组件、部署的开源应用以及使用的商业软件是三类典型的漏洞利用风险引入场景。在标准中针对软件后门植入的风险又细分为供方预留的后门以及攻击者恶意植入的场景,从历史案例来看,软件产品后门以及在通信行业中大量涉及到的路由器、防火墙等网络设备存在较大的后门隐患;在攻击者恶意植入后门的场景中,还存在着2022年NPM中存在着faker.js和node-ipc这样典型的热门组件开发者化身攻击者在代码中加入恶意逻辑的事件。
在《信息安全技术软件供应链安全要求》中对于这些风险要求:
对开源软件、第三方组件中的漏洞进行修复/缓解
- 需方应要求供方承诺所使用的开源软件和第三方组件不存在已公开漏洞未修复的情况,或者对于存在已公开漏洞未修复的情况,但经过评估后存在补救措施的,提供相应的安全分析报告;
不得在软件产品中设置后门
- 需方应要求供方不在软件产品中设置后门,或利用软件产品的便利条件非法获取用户数据、控制和操纵用户系统和设备,不会利用软件产品的依赖性谋取不正当利益,不得在未授权情况下对软件产品进行升级或更新换代;
开展检测评估
- 需方应明确开展软件产品或服务的功能、性能及安全风险检测评估等要求,明确检测评估的范围,包括但不限于软件资产识别、漏洞、后门、渗透测试等,涉及第三方机构的应明确第三方机构的资质能力;
持续监测,及时发现风险
- 供需双方应根据协议形成常态化风险监测机制,及时发现并处置软件中断供应、停止授权、停止提供产品升级等持续供应风险,漏洞、后门等技术安全风险和信息泄露、数据篡改等数据安全风险;
针对这样的风险,通过以漏洞情报、投毒情报为代表的情报数据,能够帮助企业实现三类种典型控制能力:引入前的准入与卡位,引入中的检测与修复,引入后的风险监测与处置。
在当前漏洞和投毒情报的构建还面临许多挑战,如公开漏洞库的数据不全、质量不高,投毒情报没有公开数据。
墨菲安全在持续建设漏洞和投毒的情报能力,通过自建漏洞库、投毒情报挖掘能力,提供有效的情报能够帮助企业实现风险的事前排查和持续监测,提升安全工程师运营处置效率,实现软件供应链安全合规治理。
会议下午,电信分论坛《打造供应链评估体系 应对安全威胁挑战》上,墨菲安全联合创始人兼产品负责人车志远带来分享《覆盖全文件对象的高精检测及自动修复的软件供应链安全技术》。
分享围绕企业在依据 SBOM 进行软件供应链安全风险治理时,依赖的全文件类型对象的覆盖能力、高精度的检测能力、自动修复等关键技术能力:
- 全文件类型对象的覆盖能力解决复杂的供应链软件类型:源代码SBOM分析的难点和技术;二进制SBOM分析的难点和技术及其应用场景。
- 高精度的检测能力解决了风险检测出现的漏报、误报:从漏洞知识库的精准,难点和技术上切入,以及代码漏洞真实风险评估的业务场景。
- 自动修复能力解决了风险的修复成本高:版本升级的兼容性问题、代码补丁的生成问题、二进制文件漏洞修复。
详细介绍了软件供应链安全治理依赖的SBOM关键技术的应用场景以及痛点解决,为企业在风险治理的落地上提供建设思路。
会议全程期间,墨菲安全展区随时为各位参会者准备了相关资料以及电子版各行业完整资料包,为大家提出的疑问进行介绍和讲解。
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。
墨非安全为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。同时产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。目前墨菲安全已经服务包括蚂蚁、平安、快手等在内的数百家企业客户。
官网地址:https://www.murphysec.com/
开源项目:https://github.com/murphysecurity/murphysec
未来,社区将在指导单位的关心和支持下、在社区会员的共同努力下继续蓬勃发展,墨菲安全作为其中一员将努力为软件供应链安全治理贡献自己的一份力量!
发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/hot/4743.html
