首頁 > 關于我們 > 安恒動態 > 2024 > 正文

杭州市軟件行業協會會員代表大會召開，安恒信息分享重保之軟件供應鏈安全實踐

閱讀量：次 文章來源：安恒信息

為進一步推動杭州軟件產業發展，培育和引導新生代軟件企業，共同探討杭州數字經濟的未來，杭州市軟件行業協會2023年會員代表大會暨AI時代軟件企業發展論壇于1月28日舉辦，安恒信息首席人才官、高級副總裁、數字人才創研院院長苗春雨受邀出席并發表主題演講。

?苗春雨在《重保之軟件供應鏈安全實踐》中介紹到，安恒信息作為國家級核心安保單位，擁有一支超過數百人的國家級網絡安全保障實戰團隊，具備一流的網絡與信息安全技術能力和豐富安全攻防經驗。安恒信息自2008年北京奧運會起陸續負責新中國成立60周年、上海世博會、廣州亞運會、歷屆世界互聯網大會、G20峰會、成都亞運會、杭州亞運會等眾多國際級、國家級重大活動、賽事的網絡安全保障工作，并實現零事故的輝煌戰績。

近年來，隨著軟件供應鏈的不斷發展，其背后的安全風險問題越來越得到重視。對此，國家及金融、運營商、教育、電力等各行各業陸續發布關于軟件供應鏈安全的政策規定，全面為軟件供應鏈安全治理與安全保障提供政策指導。

依托前沿科技研發技術與豐富實戰經驗，安恒信息面向軟件供應鏈安全提供完善的解決方案，以合規為基礎、以安全為追求，持續保障企業軟件供應鏈安全，并在采購階段、集成開發、軟件交付、安全運營四個階段都具備管理、服務、產品相結合的全面能力。

在2023年，安恒信息圓滿完成了成都大運會、杭州亞運會等國際大型賽事的網絡安全保障工作，安恒信息軟件供應鏈安全歷經諸多實戰演練，為“零事故”的輝煌戰績貢獻極大力量。基于重保實戰防護經驗，苗春雨詳細展開介紹了安恒軟件供應鏈安全七大重點能力：

安全開發一體化平臺

安恒安全開發一體化平臺，即軟件供應鏈安全平臺，是基于Gartner提出的DevSecOps理念，將安全（Security）嵌入DevOps流程中，實現軟件敏捷開發過程安全性能保障的功能性平臺。其主要功能包括項目管理、資產及第三方組件管理、安全需求分析與設計平臺、漏洞管理、集成工具以及知識庫。

軟件成分分析

安恒軟件成分分析平臺（SCA），是一款智能組件歷史漏洞檢測、二進制0day風險分析、開源協議檢查系統，支持生成SBOM。是安恒信息面向軟件開發安全需求研發的基于軟件開發安全生命周期管理的開源組件檢測系統。支持對源代碼、二進制文件及特征文件中的開源組件進行靜態解析，并基于機器學習技術，模擬開發過程中包管理的行為，通過算法、策略、模型對項目引用到的組件及漏洞進行高效深層分析。

源代碼審計系統

安恒明鑒源代碼安全缺陷檢測系統（SAST），通過系統自動分析軟件的源代碼、二進制代碼，理解軟件行為，檢測并發現代碼缺陷、違反編碼規范的惡意或違規行為，解決安全開發規范標準化與自動化工具支撐的核心問題。

灰盒動態測試系統

安恒灰盒交互式安全測試系統（IAST），支持對應用的通用安全漏洞、代碼層安全漏洞和開源組件安全漏洞進行有效檢測，詳細展示漏洞形成數據流和堆棧信息等，便于定位、驗證、修復安全漏洞，系統具備漏洞檢測、定位分析、主動驗證、以及第三方開源組件漏洞與許可分析能力。

威脅建模分析系統

安恒威脅建模平臺，根據實際項目背景、業務場景，輸出威脅清單、安全需求清單、安全需求測試用例，解決威脅建模過程復雜、缺少安全專家、缺少安全測試人員和安全測試用例等問題。

漏洞掃描系統

安恒明鑒漏洞掃描系統（DAS-RAS），融合多年專業安全行業在信息安全漏洞挖掘、滲透測試技術研究和漏洞檢查方法的最佳實踐基礎上，集主機/網站/應用/數據安全掃描、弱口令發現和基線配置核查于一體化，協助驗證應用代碼安全性能、應用安全防護性能和抗破壞能力。

安全服務

軟件供應鏈安全保障是一項體系建設工程，除系統平臺工具支撐，也需要結合運營商合規要求與現狀風險，引入不同類型的安全服務，確保軟件供應鏈安全治理的效果可衡量、風險可控制、合規能評估、威脅可處置。