RSAC2022 | 一文读懂“热度高涨”的软件供应链宁静

宣布时间 2022-06-22

编者按：软件供应链宁静在当前供应链攻击、贸易战、国际最新局势等因素的影响下成为RSAC十大热门主题之一。在本文中，东森平台集团通过结合本届RSAC在软件供应链宁静主题提出的新思路与看法，以及自身在该领域所积累的富厚宁静实践结果，为各人就当前供应链宁静形势及未来生长趋势进行了详细分析，助力保障软件供应链宁静工业稳定、健康生长。

看RSAC如何推动软件供应链宁静生长

由于软件供应链的攻击范围广、方式隐蔽、危害大，给企业宁静防护带来了极大的挑战，所以做好软件供应链宁静的防护势在必行，以色列公司Cycode也凭借软件供应链宁静的看法又一次入围沙盒创新十强。下面从RSAC历届DevSecOps解决方案厂商的思路来看软件供应链宁静的技术生长趋势。

早在2017年，DevSecOps就被RSAC所引入，会上明确了DevSecOps实践的主体内容，并提出了左移宁静前置的思想。

在2018年RSAC上更是通过“Golden Pipeline”的看法，强调在软件供应链宁静上，自动化工具是必不行少的，其中CyberGRX作为第三方网络风险管理平台在大会上崭露头角，它从资助企业理解和管理供应链威胁载体为出发点，通过对企业软件供应商进行全面视察，告竣提早实现威胁探知的目的。

2019年RSAC中特设的子主题“DevOps Connect”，DevSecOps进入到全面发作期，会议强调了DevSecOps落地实践过程中文化融合的意义，并期望通过CI/CD管道辅以有效度量机制来实现效率上的提升

DevSecOps在国内的生长情况

在DevSecOps兴起的浪潮下，越来越多企业将它应用到自身的开发宁静架构当中，但在融入DevSecOps开发环境模型的过程中，如何解决企业自身供应链宁静的问题也引发了各人的关注。

首先是文化融合。众所周知，人的天性是喜欢待在自身可掌控的舒适区。如今大部门企业转向DevSecOps的头号挑战，来自文化层面的抵触情绪。许多人认为宁静保障会拖慢软件开发事情速度、甚至阻碍自身创新。

其次，DevSecOps强调开发人员与宁静专家统一协作，二者配合建立起协作环境。但在两大团队间总是存在一定水平的摩擦，甚至认为对方总在跟自己作对。举个例子：例如软件外包公司的首要目标是满足客户的业务需求，开发人员希望不停提升代码的交付速度。但是在宁静团队看来，他们的事情重点在于保障代码的宁静，而这两个截然差异的目标导致团队之间难以相互理解、协同事情。

再次，宁静人员的不足也可能影响DevSecOps的建设。尽管很多企业在从事DevSecOps的落地事情，但人员能力水平参差不齐，知识储蓄低下的状况为企业造成了不小的麻烦。据《网络信息宁静人才生长陈诉》指出，我国网络宁静人才仍处于供不应求的状态。

最后，DevSecOps在实践过程中遇到的另一个挑战是自动化工具的不足。DevSecOps非常依赖自动化工具来完成版本管理、缺陷管理、代码构建、漏洞扫描等事情。尽管供应链宁静领域一些开可以找到一些开源和商业工具，但在国产化的行业配景下，这些工具存在功落地的实际需求。

运用DevSecOps理念建设软件供应链宁静体系

凭据RSAC历年的DevSecOps理念，相关单元要做好软件供应链技术产物的宁静开发往往需要从管理层面和技术层面出发，开展体系化的建设事情。

? 软件供应链宁静管理方面

1、加强宁静开发环境的可控性

在软件开发阶段需设置有宁静可控的事情场所，并针对开发过程搭建专用的开发环境和测试环境，配备宁静、可信、可靠的宁静开发工具，设置按角色分配的合理权限，确�？⒐毯筒馐怨炭煽�，保障软件研发资产宁静。

2、加强质量管理体系融合

凭据软件供应链宁静的开发生命周期建立合理的组织架构和管理架构来满足产物宁静开发的实施和管理。

3、加强宁静开发技术培训

给所有的研发人员培训DevSecOps要领流程，让每个研发人员实现互动关系，也让每个研发人员理解DevSecOps 的事情以及对整体产物宁静主体的理解�？⑷嗽绷私庀叱棠Ｐ秃秃瞎嫘约觳�，并了解如何衡量风险以及如何实施宁静控制，从而确保组织中的所有人了解公司的宁静状况，遵循相同的尺度。

? 软件开发技术方面

1、构建详细的软件物料清单

软件供应链宁静始于对要害环节的可见性，企业需要为每个应用法式连续构建详细的 SBOM（Software Bill of Material，软件物料清单）从而全面洞察每个应用软件的组件情况，为突发的漏洞提供应急的措施。

2、合理使用好宁静开发工具

自动化工具的使用，可有效减少人工检测的时间消耗和成本投入，提高检测效率。软件宁静开发领域常见的宁静开发工具，使用的技术包罗：SAST技术、DAST技术、IAST技术和FUZZ技术。因此，保障软件供应链宁静，需在DevSecOps的差异阶段应用差异的自动化宁静技术。

? 供应商管理方面

针对软件的提供商进行严格的审核，包罗从财政实力、质量允许、企业资质、技术储蓄等方面，通过考察软件供应商的综合实力，以选择最合适的合作伙伴，保障软件产物的宁静性。

RSAC创新沙盒连续关注网络宁静行业热点偏向，引领技术创新，为软件供应链宁静的技术实现提供了可行的解决方案。相信未来会有更多的软件供应链宁静厂商入围创新沙盒，推动更多创新技术的生长。

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

关于东森平台