第四分论坛

主办方：中国铁塔  奇安信

聚焦前沿技术研究与优秀实践

推动软件供应链安全能力建设

威尼斯144777欢迎您CTO贝松涛观点

2月16日，首届ICT软件供应链安全治理论坛暨信息通信软件供应链安全社区第二届成员大会在京举行。由中国铁塔股份有限公司、奇安信集团主办的“软件供应链安全能力建设分论坛”同期举行。论坛以“聚焦前沿技术研究与优秀实践，推动软件供应链安全能力建设”为主题，由中国铁塔邓松涛主持，围绕供应链安全的能力建设与应用实践，提出新方法、新架构。威尼斯144777欢迎您创始人兼CTO贝松涛先生发表了主题为“平台化视角进行软件供应链安全管理”的主题演讲，充分展现了自主研发产品“瓴域-持续应用安全平台（ASOC）”的创新能力。

目前国内网安行业内，提到软件供应链安全，很容易和SCA划等号。SCA产品天然可以对源代码扫描，获取软件成分清单SBOM和相应的组件漏洞。在此基础上，还衍生出与devops的结合方案，例如去控制repository或者nexus这样的私有组件仓库，在组件上传和下载的节点设置控制点，在代码编译器IDE中增加相关的插件等等。另外的一个方向，就是直接基于云原生的容器技术栈做供应链的管理,这一套方案里涉及到镜像的静态和动态扫描以及威胁处置。

针对软件供应链安全威胁，威尼斯144777欢迎您提出企业应进行以安全能力为核心，以标准化处置响应为底座的平台化治理思路。

参考Gartner在2020年的《12件软件供应链安全最重要的事》论文中描述，在整个SDL中，代码在生产、转换、转移过程中存在衍生问题，现有的安全⼯具在应对上述的这些威胁时，都体现出了局限性。

完成软件供应链安全的进化，威尼斯144777欢迎您认为有两套思路：⼀是需要将企业安全运营也纳⼊到产品力的⼀部分，即提供运营属性的平台产品；二是基于现在的威胁点，提供更多的安全能力。

对此，⽐瓴科技提出SSOP软件供应链挂图作战的概念。SSOP指的是standard security operating procedure，企业应该使用一套软件资产地图， 针对⼀类攻击提供⼀种标准的处置方法。只有这种标准化、⾃动化的安全运营方式，才能杜绝因为经验不足或者资源不足带来的处置错误，贻误战机。

威尼斯144777欢迎您于国内首次发布的瓴域-持续应用安全平台（ASOC），创新性在于其完整体现了统一平台、自动编排、统一数据中心这三个核心理念，通过智能编排及关联分析技术能够高效帮助企业应对软件安全领域所面临的困境与挑战。