墨菲安全在软件供应链安全领域阶段性总结及思考

向外看:墨菲安全在软件供应链安全领域的一些洞察、思考、行动

洞察

现状&挑战:

  1. 过去开发安全体系是无法解决软件供应链安全问题的;
  2. 一些过去专注开发安全领域的厂商正在错误的引导行业用开发安全思维解决软件供应链安全问题,治标不治本;
  3. 这导致行业(安全厂商/企业/监管)大部分人对于软件供应链安全仍然缺乏理性的认知;
  4. 过去以开发安全为主营业务的安全厂商将越来越无法适应软件供应链安全领域日益成熟的市场需求;

正在发生的:

  1. 一些行业头部客户及先行者已经在以新的思路思考软件供应链安全问题并付诸实践;
  2. 一些行业监管部门对软件供应链安全领域重视度非常高且视野非常开阔,并且正在付诸行动;
  3. 墨菲安全的理念和解决方案正在互联网、金融、运营商、能源及央国企的一些头部客户中被广泛接受;
  4. 一些行业的先行者已经在软件供应链领域的开源安全治理方向实现成熟实践

思考

为什么这么说?

一个行业越成熟,那么其生产过程中供应链体系就越完善和标准化,比较典型的案例就是汽车的生产和制造;

以汽车生产和制造为例,这个行业非常成熟,因此其供应链体系也相当完善和标准化。以下是一些具体的表现:

  1. 供应商网络:汽车生产和制造需要大量的零部件和原材料,因此汽车公司通常会与一系列供应商建立长期合作关系。这些供应商通常会遵循行业标准和规范,以确保零部件的质量和交货时间。
  2. 物流和运输:汽车生产和制造需要高效的物流和运输系统,以确保零部件和产品的及时交付。随着行业的成熟,物流和运输体系也会变得更加标准化,从而提高效率。
  3. 质量管理:汽车生产和制造需要严格管理生产制造过程中引入各个组件的质量,以确保最终产品的质量和安全性。从确定需求标准联系供应厂商,到试生产验证和正式生产验收交付,都需要组件达标。随着行业的成熟,质量管理标准也会更加严格和规范。
  4. 信息技术:随着信息技术的发展,许多汽车生产和制造公司已经开始采用物联网、大数据、人工智能等先进技术来优化供应链管理,提高生产效率和质量。

总的来说,随着汽车生产和制造行业的成熟,其供应链体系也会变得更加完善和标准化。这不仅可以提高生产效率和质量,还可以降低成本和风险。

反观,今天企业软件应用的生产过程正在经历这么一个逐渐走向成熟的过程,据权威数据统计目前各行业企业的软件应用大概来自供应链的成分占比超过90%,据工信部数据显示2022年全国软件及信息化相关服务市场规模超过10万亿,到2028年还将翻一番来到20万亿,而当前软件产业链在安全上的投入恐怕连0.1%(100亿)都不到,这里面未来发展的空间非常大。

而从当下实际情况来看,我们的软件供应链体系非常缺乏全过程的安全质量管理,这就导致今天我们看到的每天都会爆出大量通用软件的0day漏洞及投毒事件,且大部分软件在爆出这些漏洞后并没有得到妥善的处置,软件供应商无法及时通知他们的企业客户去妥善处置,进而导致使用这些供应商软件的企业客户被入侵、数据泄露、加密勒索、攻防演练期间被攻破等,过去几年比较典型的就是Solarwinds事件、工商银行美国子公司被攻击事件等。

今天软件供应链体系的安全质量管理问题到底出在哪?我认为主要有以下几个方面的问题:

  1. 企业的软件应用开发过程引入了大量免费的开源软件,开源软件出现安全问题责任认定是不清晰的;
  2. 软件应用的迭代频度非常高,且缺乏严格的管理标准;
  3. 企业和商业软件供应商之间的责任边界不清晰,企业缺乏对商业软件供应商的成熟管理体系;
  4. 行业缺乏对软件供应体系的严格监管(包括标准/评估体系/执法监管);
  5. 行业缺乏成熟且被广泛认可的软件供应链安全成熟产品及解决方案;

而以上五个核心问题的思考和解决,都与传统的开发安全治理有着巨大的差异,我们必须逐个认证分析并深入解决。传统的开发安全体系(SDL/DevSecOps)更多的关注的是软件研发过程中的安全管控,但是实际上软件供应链安全要贯穿软件从生产、分发、应用、持续更新等全过程的管理。

行动及成果

  • 墨菲安全软件供应链商业化产品推出一年,正式签约覆盖互联网、运营商、金融、能源等领域超过50家头部企业

墨菲安全已签约的部分标杆客户(以上排名不分先后)

  • 推出了软件供应链安全平台商业正式版v3,其性能和特性可与全球领先的软件供应链安全厂商刚正面
  • “也许是”全球首个在线开源软件供应链安全技术社区(OSCS),向超3000家企业提供免费的软件供应链情报服务
  • “也许是”国内首个免费软件供应链安全平台产品(murphysec.com),服务超6000家企业的软件应用开发流程的安全保障

向内看:墨菲安全产品及团队快速迭代,赋能推动软件供应链安全体系发展

关于产品:

  • 1+3:1个软件供应链安全平台,3大核心产品覆盖包括开源安全治理、许可证合规、0day漏洞及投毒预警、国家大型攻防演练防护等软件供应链安全治理的八大场景
  • 2年的时间,墨菲安全软件供应链安全平台从v1.0版本已经来到v3.0的成熟版本,并且仍然以两周一个迭代快速提升
  • 签约才是产品服务的开始的理念,持续为客户提供可靠的服务

关于核心技术:

  • “也许是”全球首个专业软件供应链安全知识库(SRKB),覆盖软件供应链漏洞、投毒情报、许可证合规、软件健康度、软件可信等数十个维度的专业数据
  • 知识库赋能数十家头部企业客户,成为他们安全建设的基础必备能力

关于团队:

  • 前梆梆安全COO周欣加盟,搭建成熟的市场营销团队,高效赋能和服务客户
  • 五个联创在知识库能力、工程技术、产品、解决方案及社区运营方面都构建了一个成熟稳定的团队,助力墨菲安全的产品及技术体系快速迭代

关于荣誉及资质:

  • 国高新
  • CCRC
  • CNNVD支撑单位
  • 入选ISC数字安全创新能力百强
  • 入选网络安全优质初创企业HOT50

展望未来:过程是曲折的,未来是光明的

1. 坚定看好软件供应链安全方向机会:

  • 成熟软件行业需要成熟的软件供应链体系
  • 成熟的软件供应链体系极其缺乏成熟的安全质量管理,这就是未来十年最大的机会

2. 看长,toB没有捷径,坚定坚持埋头积累10~20年,你就是市场上最强的,相信时间的复利

  • 软件供应链相比传统汽车等制造业的供应链来说,复杂度高了好几个数量级
  • 没有任何一种单一通用的方法能解决软件供应链安全的所有问题
  • 需要持续积累和迭代软件风险知识库、软件分析能力、软件供应链管理体系

3. 2024年将会有越来越多的企业开展软件供应链安全治理

  • 一方面因为近几年软件供应链安全事件频发,包括国家级的攻防演练中发现的大部分安全问题都是来自供应链
  • 另外一方面,互联网、金融、运营商越来越多头部企业已经开展软件供应链安全治理并且获得最佳实践
  • 此外,行业已经有成熟的软件供应链安全产品及技术解决方案可支撑企业快速落地

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/473771.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

ResNet目标检测算法实现交通灯分类

红绿灯识别方案:https://zhuanlan.zhihu.com/p/674791906 目录 一、制作数据集二、ResNet算法三、pytorch转onnx文件四、onnx推理测试五、onnx转mnn 一、制作数据集 1、数据集划分 将红绿灯数据集大文件夹中不同类别的小文件夹中的图片按照9:1进行划分…

【Flutter】文件选择器(file_picker)的用法

Flutter 没有提供内置的文件选择器,但社区内有人贡献了一个比较完整的解决方案——file_picker。 file_picker 的 API 简洁易用,支持全平台(Android / iOS / Mac / Linux / Windows),是我开发桌面应用时的首选。 这边…

MySql实战--一条SQL查询语句是如何执行的?

平时我们使用数据库,看到的通常都是一个整体。比如,你有个最简单的表,表里只有一个ID字段,在执行下面这个查询语句时: select * from T where ID10; 我们看到的只是输入一条语句,返回一个结果…

Chain of Note-CoN增强检索增强型语言模型的鲁棒性

Enhancing Robustness in Retrieval-Augmented Language Models 检索增强型语言模型(RALMs)在大型语言模型的能力上取得了重大进步,特别是在利用外部知识源减少事实性幻觉方面。然而,检索到的信息的可靠性并不总是有保证的。检索…

阿里云99元服务器40G ESSD Entry系统盘够用吗?

阿里云99元服务器40G ESSD Entry云盘够用吗?够用,操作系统占15GB左右,还有25G富余。如果是40G ESSD Entry系统盘不够用,还可以为云服务器另外挂载数据盘,所以不用担心40G系统盘不够用。可以在阿里云CLUB中心查看 aliyu…

基于SpringBoot实现WebSocket实时通讯的服务端和客户端

实现功能 服务端注册的客户端的列表;服务端向客户端发送广播消息;服务端向指定客户端发送消息;服务端向多个客户端发送消息;客户端给服务端发送消息; 效果: 环境 jdk:1.8 SpringBoot&#x…

some/ip CAN CANFD

关于SOME/IP的理解 在CAN总线的车载网络中,通信过程是面向信号的 当ECU的信号的值发生了改变,或者发送周期到了,就会发送消息,而不考虑接收者是否需要,这样就会造成总线上出现不必要的信息,占用了带宽 …

get_local_ip.bat:快速获取IPv4地址

批处理脚本,用于在Windows命令提示符下获取本地计算机的IPv4地址。 echo off ipconfig | findstr IPv4 pause - echo off:这会关闭命令提示符窗口中的命令回显,使得在运行脚本时不会显示每条命令的执行结果。 - ipconfig:这是一…

流畅的 Python 第二版(GPT 重译)(十三)

第二十四章:类元编程 每个人都知道调试比一开始编写程序要困难两倍。所以如果你在编写时尽可能聪明,那么你将如何调试呢? Brian W. Kernighan 和 P. J. Plauger,《编程风格的要素》 类元编程是在运行时创建或自定义类的艺术。在 P…

元素定位之xpath和css

元素定位 xpath绝对路径相对路径案例xpath策略(路径)案例xpath策略(层级、扩展)属性层级与属性层级与属性拓展层级与属性综合 csscss选择器(id、类、标签、属性)id选择器类选择器标签选择器属性选择器案例-…

按面积筛选填充二值图中的孔洞-python源码

目录 🙋🙋需求 🍅🍅解决方案 🙋🙋需求 前提条件是二值图中0是背景,255是前景。 二值化后的影像中有很多小孔洞,现在需要按孔洞面积进行筛选,填充面积小于阈值的孔洞&…

何恺明重提十年之争——模型表现好是源于能力提升还是捕获数据集偏见

2011年,知名学者Antonio Torralba和Alyosha Efros提出了“数据集偏差之战”,他们发现机器学习模型很容易“过拟合”到特定的数据集上,导致在其他数据集上表现不佳。过去十年,随着深度学习革命的到来,建立多样化、大规模、全面且尽…

三级数据库技术考点(详解!!)

1、 答疑:【解析】分布式数据库系统按不同层次提供的分布透明性有:分片透明性;②位置透明性;③局部映像透明性,位置透明性是指数据分片的分配位置对用户是透明的,用户编写程序时只需 要考虑数据分片情况,不需要了解各分片在各个场地的分配情…

GitHub配置SSH Key(详细版本)

GitHub配置SSH Key的目的是为了帮助我们在通过git提交代码是,不需要繁琐的验证过程,简化操作流程。比如新建的仓库可以下载, 但是提交需要账号密码。 步骤 一、设置git的user name和email 如果你是第一次使用,或者还没有配置过的话需要操作…

zookeeper底层细节

zk 临时节点和watch机制实现注册中心自动注册和发现,数据都在内存,nio 多线程模型; cp注重一致性,数据不一致时集群不可用 事务请求处理方式 1.all事务由唯一服务器处理 2.将客户端事务请求转成proposal分发follower 3.等待半…

基于Jenkins + Argo 实现多集群的持续交付

作者:周靖峰,青云科技容器顾问,云原生爱好者,目前专注于 DevOps,云原生领域技术涉及 Kubernetes、KubeSphere、Argo。 前文概述 前面我们已经掌握了如何通过 Jenkins Argo CD 的方式实现单集群的持续交付&#xff0c…

Maven,pom.xml,查找 子jar包

在IDEA打开pom.xml&#xff0c;会看到这里&#xff1a; 然后如果有需要&#xff0c;把相关的 子jar包 去掉 <dependency><groupId>XXX</groupId><artifactId>XXX</artifactId><exclusions><exclusion><artifactId>xxx</a…

Node.js核心命令与工具:提升开发效率的实用指南

&#x1f31f; 前言 欢迎来到我的技术小宇宙&#xff01;&#x1f30c; 这里不仅是我记录技术点滴的后花园&#xff0c;也是我分享学习心得和项目经验的乐园。&#x1f4da; 无论你是技术小白还是资深大牛&#xff0c;这里总有一些内容能触动你的好奇心。&#x1f50d; &#x…

HarmonyOS NEXT应用开发之Web组件预览PDF文件实现案例

介绍 本案例通过Web组件实现预览本地PDF文件和预览网络PDF文件&#xff0c;代码为Tabs容器组件包含了两个独立的TabContent子组件&#xff0c;分别标示为预览本地PDF文件和预览网络PDF文件。每个子组件内部构建一个Web组件。第一个Web组件利用resource协议关联本地PDF文件路径…

Docker系列

目录 练习&#xff1a;去DockerHub搜索并拉取一个Redis镜像 练习&#xff1a;去DockerHub搜索并拉取一个Redis镜像 目标&#xff1a; 1&#xff09;去DockerHub搜索Redis镜像 2&#xff09;查看Redis镜像的名称和版本 3&#xff09;利用docker pull命令拉取镜像 查看是否…