奇安信两案例入选信通院2022安全守卫者计划优秀案例

代码卫士 2023-06-13

收录于合集

近日，中国信息通信研究院公布了2022安全守卫者计划。凭借在软件供应链安全的丰富实践和技术积累，奇安信申报的“基于DevOps的供应链安全实践”和“开源软件安全治理体系”获2022安全守卫者计划优秀案例。中国信通院还公布了“业务安全推进计划”成员单位，奇安信集团入选为首批成员单位。

近年来，针对软件供应链的攻击事件一直呈快速增长态势。根据奇安信发布的《2021中国软件供应链安全分析报告》数据显示：国内企业软件项目100％使用了开源软件；超8成软件项目存在已知高危开源软件漏洞；平均每个软件项目存在66个已知开源软件漏洞，15年前的开源软件漏洞仍然存在于多个软件项目中。

无所不在的软件漏洞，成为软件供应链安全的核心威胁。对此，奇安信推出了面向软件供应链安全的整体解决方案，积极推进国内企业软件供应链安全建设。

在浙江移动“基于DevOps的供应链安全实践”案例中，奇安信协助浙江移动建立了供应链安全治理和管理体系，并通过奇安信代码卫士、奇安信开源卫士与浙江移动软件代码库、私服制品库等研发平台对接，在研发、测试环节提供源代码缺陷检测、开源组件安全检测，通过工具、技术手段将可以自动化、重复性的安全工作融入到研发体系内，让安全属性嵌入到整条流水线，提高软件质量和供应链安全治理水平。

通过项目的落地应用，不仅为浙江移动规范了开源软件的全生命周期流程，规范供应商的软件代码安全开发和准入流程，建立了开源软件资产管理能力、开源软件漏洞检测能力、源代码审计能力，大幅提升了IT系统供应链开源软件检测项目覆盖率，建立开源软件安全漏洞情报机制、提高了开源软件的风险排查及响应速度，还在运营商行业开展源代码检测、开源软件治理安全实践，实现DevOps流程和研发安全融合，为集团总部和其他同行积累了开源软件治理经验。

在为某商业银行打造的“开源软件安全治理体系”中，奇安信针对用户的业务和应用需求，搭建了一套B/S架构解决方案开源卫士，构建了开源软件准入管控、开源软件资产识别、漏洞及协议风险分析、开源软件最新漏洞情报监测等四大典型应用场景。

该方案不仅建立了系统-源码-组件-漏洞情报的关联关系，以可视化的方式呈现全行开源软件资产和漏洞台账，还在DevSecOps落地场景中对接客户的开发、测试系统，让开源卫士无缝融入银行现有研发流程，实现日常开发自动化检测，并建立起配套的安全管控流程和制度，方便该银行更加规范、标准的治理开源软件安全问题。