nykek5i 发表于 2024-7-9 22:02:20

软件供应链国标发布,安全治理做为当务之急


    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">近期</span>,《网络安全技术 软件供应链安全<span style="color: black;">需求</span>》(GB/T 43698-2024)国家标准正式发布,并将于2024年11月1日正式实施。该国家标准的发布为<span style="color: black;">加强</span><span style="color: black;">公司</span>开展软件供应链<span style="color: black;">危害</span>管理,促进<span style="color: black;">制品</span>和服务的安全性和<span style="color: black;">靠谱</span>性<span style="color: black;">供给</span>了有力支撑,<span style="color: black;">亦</span>将推动第三方<span style="color: black;">公司</span>检测<span style="color: black;">评定</span>能力的<span style="color: black;">提高</span>与发展,对软件供应链<span style="color: black;">行业</span>安全发展<span style="color: black;">拥有</span>重要<span style="color: black;">道理</span>。</p>
    <h1 style="color: black; text-align: left; margin-bottom: 10px;">《安全<span style="color: black;">需求</span>》确定软件供应链安全<span style="color: black;">目的</span></h1>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">该标准确立了软件供应链安全<span style="color: black;">目的</span>,规定了软件供应链安全<span style="color: black;">危害</span>管理<span style="color: black;">需求</span>和供需双方的组织管理和供应活动管理安全<span style="color: black;">需求</span>。适用于<span style="color: black;">指点</span>软件供应链中的供需双方开展<span style="color: black;">危害</span>管理、组织管理和供应活动管理,可为第三方<span style="color: black;">公司</span>开展软件供应链安全检测和<span style="color: black;">评定</span><span style="color: black;">供给</span>依据,<span style="color: black;">亦</span>可为主管监管<span style="color: black;">分部</span><span style="color: black;">供给</span>参考。</p>
    <h1 style="color: black; text-align: left; margin-bottom: 10px;">软件供应链安全治理压力大</h1>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">软件供应链是一个<span style="color: black;">全世界</span>分布的、<span style="color: black;">拥有</span>供应商多样性、<span style="color: black;">制品</span>服务<span style="color: black;">繁杂</span>性、全流程覆盖等<span style="color: black;">许多</span>特点的<span style="color: black;">繁杂</span>系统。随着合规压力的日益增大、安全事件的频繁<span style="color: black;">出现</span>,使得软件供应链安全问题日益凸显。面对这一严峻形势,加强软件供应链安全治理已<span style="color: black;">作为</span>当务之急。</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><strong style="color: blue;">1.合规<span style="color: black;">需求</span><span style="color: black;">提高</span></strong></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">近年来,国家层面高度<span style="color: black;">注重</span>供应链安全问题,<span style="color: black;">持续</span><span style="color: black;">创立</span>健全<span style="color: black;">关联</span>法律法规、标准制度,面临日益严峻的合规性压力。《网络安全法》规定了网络<span style="color: black;">制品</span>和服务<span style="color: black;">供给</span>者的职责,<span style="color: black;">包含</span>严禁的<span style="color: black;">行径</span>、<span style="color: black;">即时</span>采取<span style="color: black;">解救</span><span style="color: black;">办法</span>、<span style="color: black;">通知</span>报告义务、<span style="color: black;">守护</span>的延续性等;《网络安全法》《网络安全审查办法》和《关键信息<span style="color: black;">基本</span><span style="color: black;">设备</span>安全<span style="color: black;">守护</span>条例》针对关键信息<span style="color: black;">基本</span><span style="color: black;">设备</span>的供应链安全提出了<span style="color: black;">需求</span>,<span style="color: black;">包含</span>对可能影响国家安全的<span style="color: black;">设备</span>进行安全审查、网络<span style="color: black;">制品</span>和服务<span style="color: black;">供给</span>者应<span style="color: black;">协同</span>审查并承诺避免危及供应链安全的<span style="color: black;">行径</span>、安全审查时<span style="color: black;">思虑</span>供应链<span style="color: black;">危害</span>方面的<span style="color: black;">原因</span>、优先采购安全可信的网络<span style="color: black;">制品</span>和服务、与<span style="color: black;">供给</span>者签署协议等。</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><strong style="color: blue;">2.安全事件<span style="color: black;">连续</span>高发</strong></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">近年来软件供应链安全事件层出不穷,例如Log4Shell漏洞和XZ-Utils供应链后门投毒事件,其所制造的<span style="color: black;">害处</span>程度愈加严重。随着开源组件的<span style="color: black;">持续</span><span style="color: black;">增加</span>,<span style="color: black;">海量</span>的第三方开源组件被放到软件中,<span style="color: black;">引起</span>软件供应链变得越来越<span style="color: black;">繁杂</span>,安全<span style="color: black;">危害</span><span style="color: black;">亦</span>前所未有地严峻。依据<span style="color: black;">相关</span>数据,Source Check平台对某软件的扫描结果<span style="color: black;">表示</span>,53.8%的该软件项目中<span style="color: black;">包括</span><span style="color: black;">最少</span>一个高危<span style="color: black;">危害</span>漏洞,增大了软件<span style="color: black;">运用</span><span style="color: black;">危害</span>。</p>
    <h1 style="color: black; text-align: left; margin-bottom: 10px;">软件供应链安全管理中存在<span style="color: black;">许多</span>问题</h1>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">在这种背景下,软件供应链<span style="color: black;">必要</span>构建起一套坚固的安全管理体系,以应对日益增长的合规<span style="color: black;">需求</span>及<span style="color: black;">繁杂</span>的安全威胁。尽管业界<span style="color: black;">已然</span><span style="color: black;">广泛</span>认识到软件供应链安全的<span style="color: black;">要紧</span>性,但治理起来依然面临重重挑战。</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><strong style="color: blue;">1.供应关系<span style="color: black;">繁杂</span>,管理难度大</strong></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">触及</span>供应商数量众多,且可能存在层层转包的现象,运营者难以理清供应关系,透明度低,软件供应链安全管理难度大。</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><strong style="color: blue;">2.管理制度不完善,安全<span style="color: black;">评定</span>缺失</strong></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">缺乏可落地的软件供应链安全管理体系,缺少对软件供应链安全管理的有效手段和<span style="color: black;">办法</span>,如软件供应链安全<span style="color: black;">评定</span>、软件供应商安全<span style="color: black;">检测</span>等。</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><strong style="color: blue;">3.<span style="color: black;">注重</span>程度<span style="color: black;">不足</span>,干系人管理不到位</strong></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">常常</span>更加注重<span style="color: black;">经过</span>技术手段<span style="color: black;">守护</span>软件安全,对为其<span style="color: black;">供给</span>设计、建设、运维、技术服务的供应商和人员的服务过程安全管理不足。</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><strong style="color: blue;">4.开源依赖严重,漏洞<span style="color: black;">危害</span><span style="color: black;">很强</span></strong></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">软件<span style="color: black;">研发</span><span style="color: black;">海量</span>引入开源和第三方组件,供应商缺少<span style="color: black;">制品</span>安全<span style="color: black;">研发</span>流程、<span style="color: black;">制品</span>安全漏洞快速响应机制、供应链安全<span style="color: black;">危害</span>监测机制等,<span style="color: black;">引起</span><span style="color: black;">没</span>法<span style="color: black;">即时</span>处置供应链安全<span style="color: black;">危害</span>。</p>
    <h1 style="color: black; text-align: left; margin-bottom: 10px;">软件供应链安全管控<span style="color: black;">帮忙</span>构建安全基石</h1>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">针对<span style="color: black;">以上</span>挑战,道普信息第三方<span style="color: black;">危害</span>管控专家提出,<span style="color: black;">经过</span>供应链安全管控来有效应对安全威胁,满足监管<span style="color: black;">需求</span>。</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">供应链安全管控服务全景图</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><img src="//q3.itc.cn/images01/20240520/5fee57ea55724364bcb7b4940b097189.jpeg" style="width: 50%; margin-bottom: 20px;"></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><strong style="color: blue;">1.摸<span style="color: black;">状况</span></strong></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">摸清监管单位、建设单位、承建单位的供应链安全<span style="color: black;">状况</span>。<span style="color: black;">包括</span>区域监管<span style="color: black;">分部</span><span style="color: black;">需求</span>、本单位软件供应链关系、供应链安全管理体系、供应链安全技术<span style="color: black;">办法</span>等。</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><img src="//q8.itc.cn/images01/20240520/be1d95a4619844efaec5cafb40f35edb.jpeg" style="width: 50%; margin-bottom: 20px;"></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><strong style="color: blue;">2.做<span style="color: black;">评定</span></strong></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">开展供应链安全能力<span style="color: black;">评定</span>,<span style="color: black;">包括</span>设立指标、数据采集、差距分析、<span style="color: black;">危害</span><span style="color: black;">评定</span>、整改<span style="color: black;">意见</span>等<span style="color: black;">周期</span>,全方位<span style="color: black;">评定</span>服务对象供应链管理能力。</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">软件供应链管理能力<span style="color: black;">评定</span><span style="color: black;">方法</span></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><img src="//q5.itc.cn/images01/20240520/84c7129a34b74f3aa204073fd2a361f8.jpeg" style="width: 50%; margin-bottom: 20px;"></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><strong style="color: blue;">3.建制度</strong></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">帮助</span>服务对象完善软件供应链安全管理体系,从立项、采购、实施、验收、运维等<span style="color: black;">周期</span><span style="color: black;">创立</span>或完善管理制度、规范等。</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><img src="//q3.itc.cn/images01/20240520/93075b5262e541ab8e5359c030c39285.jpeg" style="width: 50%; margin-bottom: 20px;"></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">4.常监控</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">常态化开展供应链安全检测及监督工作,可<span style="color: black;">定时</span>开展针对软件层面的攻防演练、软件上线检测、开源软件漏洞检测、人员安全<span style="color: black;">认识</span>培训、供应链专项监督<span style="color: black;">检测</span>等。</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">随着数字化转型进程的推进,软件供应链安全问题日益<span style="color: black;">明显</span>,<span style="color: black;">作为</span>网络安全<span style="color: black;">行业</span>的一个<span style="color: black;">要紧</span>课题。GB/T 43698-2024《网络安全技术 软件供应链安全<span style="color: black;">需求</span>》的发布,<span style="color: black;">没</span>疑为我国网络安全能力的<span style="color: black;">提高</span>注入了强心剂,它不仅是技术规范的升级,<span style="color: black;">更加是</span>安全<span style="color: black;">认识</span>与管理实践的全面革新。道普信息<span style="color: black;">危害</span>管控专家强调,<span style="color: black;">经过</span>开展软件供应链<span style="color: black;">危害</span>管理,<span style="color: black;">一起</span>推动我国软件供应链安全管理水平迈向新的高度,为我国数字经济的健康发展保驾护航。<a style="color: black;"><span style="color: black;">返回<span style="color: black;">外链论坛:www.fok120.com</span>,查看<span style="color: black;">更加多</span></span></a></p>

    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">责任编辑:网友投稿</span></p>




fjyf880 发表于 2024-9-9 11:31:55

“BS”(鄙视的缩写)‌
页: [1]
查看完整版本: 软件供应链国标发布,安全治理做为当务之急