企业应如何落地软件供应链安全治理和运营策略?
8月2日,ISC 2022互联网安全大会软件供应链安全治理与运营论坛在ISC元宇宙N世界中举办。作为本场分论坛的出品人,悬镜安全与大会主办方一同邀请来了多位软件供应链安全领域的安全专家、业界领袖、企业代表和技术精英,就各行业对软件供应链安全治理与运营理念的创新实践进行分享与探讨。
近年来,随着企业数字化转型进程的加快,软件正成为社会运转的基本组件。但是开源主导的开发方式以及云原生的普及,使得软件供应链安全愈演愈烈,威胁着全球各行各业的用户。
围绕软件供应链安全相关话题,在论坛最后的圆桌环节,安全419创始人张毅作为圆桌主持人,与来自信创、金融、云计算等领域的多家龙头企业技术负责人展开了圆桌对话,邀请各位嘉宾分享了自身软件供应链安全建设实践经验,并深入探讨了软件供应链安全发展的新模式和新未来。
企业应如何落地软件供应链安全治理和运营策略?
近两年来不断爆发的SolarWinds和Log4j2等软件供应链安全事件为全球各行业带来了强烈冲击,软件供应链安全也一举成为了全球焦点。企业界如何看待这一系列软件供应链安全事件所造成的影响?又从这些事件中得到了哪些启示?企业在软件供应链安全方面究竟面临哪些核心痛点?又应该软件供应链安全治理策略落地?主持人张毅就这一系列问题与各位嘉宾进行了交流。
东方通集团副总裁兼北京东方通软件有限公司副总经理朱木林分享到,log4j2在软件界被视为一次核爆事件,开源软件的安全性已经成为了一个全球性话题,业内统计,自开源软件诞生后,有98%的企业都在应用中引用了开源代码和开源组件。但事实上,软件开发是无法离开开源软件的,随着数字化应用的蓬勃发展,开发人员的编码方式也随之改变,继续重复造轮子写基础函数和代码早已经成为了过去。因此他认为,一味回避开源软件并不可取,软件供应链安全治理仍然应该聚焦在加强对流程、质量的把控方面。
平安壹钱包安全DevSecOps运营负责人汪永辉认为,当前行业所面临的软件供应链安全的核心痛点仍然是研发人员安全意识薄弱,没有真正认识到软件供应链安全的重要性。他谈到,此前研发人员通常会认为引入的开源组件并不是自己编写的,其安全风险和责任与己无关。但在一系列安全事件爆发后,业内对软件供应链安全性才真正引起了重视。
汪永辉同时也分享了自身企业的相关实践,他介绍,平安壹钱包将近百个开源组件进行了安全分类分级管理,并对漏洞、许可证等开源安全风险进行了常态化治理,通过引入第三方商业工具识别可能存在的安全隐患,将相关隐患推送到相关研发部门,推动研发人员对存量漏洞和新增相关风险进行修复,最终从业务层面加入考核机制,最终倒逼安全水平得到有效提升。
围绕相关实践落地经验,中兴通讯开源合规兼安全治理总监项曙明也就这一话题进行了分享,他表示,除了加强研发人员安全意识教育外,中兴通讯在高效产品研发的流程基础上,把原来流程中的安全相关的短板进行了补齐,将开源软件应用规范性相关要求进行了完善。在引入开源软件前,中兴通讯将第三方开源软件全生命周期管理的相关要求补充到了IT管理的流程中,建立了一个独立的库将相关开源软件纳入了管控中,通过多种方式管控开源软件风险的引入。在开源软件正式引入后,中兴通讯也在从工程能力方面着手管控风险,目前正在尝试通过SASE方案来持续推动可信开源软件管控的建设。
DevSecOps和软件供应链安全会是下一个安全风口吗?
随着数字化转型加速,进入云原生时代,未来DevSecOps和软件供应链安全会如何发展?在圆桌研讨最后,主持人张毅邀请各位专家就软件供应链安全未来发展趋势分享了自身的观点和思考。
博云科技副总经理、董事靳亮认为,当前企业的科技部门的IT团队自身正在面临着云原生和数字化转型的需求,在这个过程中安全是不可或缺的一环,而DevSecOps从DevOps诞生之时就是伴生的,因此DevSecOps未来的蓬勃发展将是必然趋势。
用友集团网络安全部总经理李强认同了靳亮的观点,他表示,正如DevSecOps和DevOps的起承关系一样,供应链安全问题自从软件诞生的那一刻起就始终存在,受到当前日益严峻的安全形势的影响,国家才逐渐把供应链安全提到了一个全新的高度。事实上除了开源软件之外,包括其他任何引入的第三方软件、接入的合作伙伴系统都是供应链安全管理的构成部分。因此供应链安全的范畴囊括了包括软件厂商和安全厂商,所有人都会面临着巨大的转型和发展机会。
项曙明认为,当前技术的发展日新月异,尤其是在云原生时代下,打造供应链级的软件产品已经成为了企业生存和发展的必然条件,只有拥抱开源、拥抱软件供应链的管控才能在数字化浪潮中迎来发展机遇。
朱木林最后谈到,随着软件开发安全受重视程度的不断提高,当下无论是何种应用场景下的软件生产企业,都已经开始尝试融入供应链管控的措施或者商业工具对风险加以治理。在软件真正在客户业务中上线前,无论是传统架构还是云原生架构下,软件从底层到应用层都会介入安全措施,这意味着当前做软件供应链安全治理已经在软件行业内形成了共识。
因此他认为,严峻的安全对抗形势必然会刺激整体行业的发展,网络安全自身的特性决定了它是一个不断迭代的螺旋式上升的过程。可以预测的是,未来将有一大批技术创新型的安全企业从中脱颖而出,同时也将会有一些优秀安全从业者登上时代舞台,DevSecOps和软件供应链安全必将乘风而起。
