● 一是流程创新,软件供应链安全需求管理降本增效。实现安全需求设计跟踪90%自动化,安全需求验证自动化验证占比达到40%,大大提升安全需求设计和验证的标准化水平,降低流程管理成本。
● 二是建立高质量软件开源组件清单台账,提高应急效率。实现开源组件的识别,开源组件漏洞检测、开源组件漏洞可达性分析,形成高质量软件开源组件清单。
● 三是建立二方包全生命周期管理机制,防范内部风险。对二方包(公司内部的依赖库)进行全生命周期管理,可跟踪二方包引入的漏洞整改过程,防止二方包bug和漏洞引起的软件安全风险的出现。
● 四是覆盖软件供应链安全场景,建立标准化知识库。重新规划场景与安全需求的关联,建立了1000多项安全需求极其配套的安全设计和测试用例,完善现有安全需求并实现结构化沉淀积累。
软件供应链安全风险评估平台是软件供应链安全检查工具箱的迭代升级,并连续两年入选信息通信软件供应链安全社区“自主研发创新成果”。本次升级主要针对检测引擎核心能力,同时新增二进制软件成分分析、代码同源性检测、开源组件自主可控风险分析、组件漏洞真实性影响分析、组件修复兼容性分析以及恶意文件投毒检测等引擎,适配包括自研、外包、商采在内的更多场景下的风险评估活动。
此外,新上线的合规评估工作台,创新性地引入了管理维度的风险评估,对于供应商以及运营单位的软件供应链安全管理体系的落地情况进行有效的评估。对于技术及管理层面的评估结果,形成全局视角的软件供应链知识图谱以及可视化大屏,将核心风险进行可视化呈现,提升软件供应链的整体透明度,实现风险可追溯性,分别为监管机构、软件运营者、软件供应方提供软件供应链安全技术抓手。
平台通过对软件供应链安全风险进行评估,来降低安全人员的时间投入,提高安全防范能力。通过使用该平台,可以清晰地统计出各个软件使用的三方应用清单,三方组件的风险详情,云服务清单,系统、资产风险数据等各项关键指标,以便安全部门有效推进安全工作及安全决策,让软件供应链风险评估工作的决策有理可循、有据可依。
文章来源 :默安科技
微信公众号