Lazarus 集团利用已知漏洞攻击软件供应商

信息安全产业是四川的特色产业。近日，《四川省“十四五”信息安全产业发展规划》正式出台，将推动四川省信息安全产业发展，为数字经济发展保驾护航。11月22日，省经信厅召开新闻发布会，对《规划》进行解读。

云评估作为确保中国政府和关键基础设施领域云平台安全的重要措施，云平台的供应链安全也将会成为云评估关注的重点之一。

双方将结合各自业务优势，进行能力融合，共同携手推出全方位解决方案。

《安全要求》给出了软件供应链安全保护目标，规定了软件供应链组织管理和供应活动管理的安全要求；适用于指导软件供应链中的需方、供方开展组织管理和供应活动管理，可为第三方机构开展软件供应链安全测试和评估提供依据，也可为主管监管部门提供参考。

软件产品和服务关系生产、生活的各个方面，软件供应链安全直接影响社会的稳定运行。

随着软件技术的飞速发展和软件开发技术的不断进步，软件开发和集成过程中常会应用第三方软件产品或开源组件，其供应链中软件的安全性和可靠性逐步成为软件产业面临的重要安全问题。近年来大量涌现的软件供应链安全事件则具有不同的特点，攻击软件供应链相较于攻击软件本身，难度和成本显著降低，影响范围一般显著扩大，并且由于攻击发生后被供应链上的多次传递所掩盖，难以被现有的计算机系统安全防范措施识别和处理。

工业信息安全快讯

针对软件供应链的网络攻击，常常利用系统固有安全漏洞，或者预置的软件后门开展攻击活动，并通过软件供应链形成的网链结构将攻击效果向下游传播给供应链中所有参与者。近年来，软件供应链网络攻击事件频发，影响越来越大。据 Accenture 公司调查，2016 年 60% 以上的网络攻击是供应链攻击。装备软件供应链安全事关国家安全、军队安全，一旦出现安全风险将会给国家和军队带来重大安全挑战，产生的后果不堪设想。

各类攻防演练的结果证明，软件供应链攻击已成为投入低、见效快、易突破的有效方式。总体思路与原则：合规是底线，管理是准则，制度是要求，技术是支撑，服务是保障，流程是协作。安全管理制度的建立，能够规范软件供应链涉及的内部、外部角色的行为，同时提供制度性保障。其次，针对软件开发各阶段与存在的风险，引入对应的安全能力，提供技术支撑，确保安全质量。