软件供应链安全如此重要,但为什么难以解决?
软件供应链安全如今已经成了一个世界性难题。从2021年底Apache Log4j“核弹级”风险爆发,时至今日影响仍然存在,保障软件供应链安全已成为业界关注焦点。 但整体来看,软件供应链安全问题似乎并没有得以缓解,安全事件层出不穷,开源漏洞风险与日俱增。 为什么人人都知道软件供应链安全问题很重要,却难以解决? 软件供应链安全与开源息息相关 要搞清楚软件供应链安全的症结,先得厘清其涵义。 基于中国信通院的定义,软件供应链安全是指“软件供应链上软件设计与开发的各个阶段中来自本身的编码过程、工具、设备或供应链上游的代码、模块和服务的安全,以及软件交付渠道及使用过程安全的总和。” 这里是把软件供应链安全分为了两部分:一是软件自身的供应链安全,二是软件供应链交界面的安全管理。 软件自身的供应链,可以简单理解为应用的代码来源,应用的代码来源主要有两个部分:一个是产品研发自己写的代码,另一个就是引入的第三方的开源组件代码。针对这两者的安全检测也是我们常说的开发安全。 软件供应链交接界面,针对的是开源软件或者商业采购第三方软件。 这部分的供应链安全管理,主要是在交付和使用过程中进行相关的准入检测,并形成...
