信息化觀察網(wǎng)

中標(biāo)喜報(bào)

近日，懸鏡安全第三代DevSecOps數(shù)字供應(yīng)鏈安全管理體系成功中標(biāo)大型能源國企“數(shù)字供應(yīng)鏈安全管理建設(shè)”項(xiàng)目，項(xiàng)目金額高達(dá)數(shù)百萬元。懸鏡安全作為國內(nèi)數(shù)字供應(yīng)鏈安全開拓者，一直致力于通過技術(shù)創(chuàng)新為行業(yè)用戶提供卓越的產(chǎn)品服務(wù)。本次成功中標(biāo)，充分體現(xiàn)了懸鏡安全的技術(shù)實(shí)力和市場影響力，也是行業(yè)用戶對懸鏡安全多年來在數(shù)字供應(yīng)鏈安全領(lǐng)域深耕細(xì)作的高度認(rèn)可。

該用戶作為國務(wù)院國有資產(chǎn)監(jiān)督管理委員會直屬的特大型國有企業(yè)，不僅是國內(nèi)最大的海上原油及天然氣生產(chǎn)商，也是全球最大的獨(dú)立油氣勘探及生產(chǎn)企業(yè)之一，連續(xù)多年入圍《財(cái)富》世界五百強(qiáng)，主要業(yè)務(wù)范圍包括油氣勘探開發(fā)、專業(yè)技術(shù)服務(wù)、煉化銷售及化肥、天然氣及發(fā)電、金融服務(wù)、新能源等。

守護(hù)關(guān)鍵基礎(chǔ)設(shè)施安全

落實(shí)數(shù)字供應(yīng)鏈安全防護(hù)責(zé)任

隨著開源軟件和云原生技術(shù)的廣泛應(yīng)用，數(shù)字供應(yīng)鏈變得愈加復(fù)雜和多樣化。數(shù)字供應(yīng)鏈已經(jīng)成為國際網(wǎng)絡(luò)空間攻防對抗的焦點(diǎn)，對我國關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)安全有著直接的影響。

引入開源軟件雖然為敏捷開發(fā)帶來了極大便利，但開源項(xiàng)目引用過程中缺乏對漏洞、惡意代碼的檢測和修復(fù)，開源軟件使用不規(guī)范、軟件交付渠道不可控等問題屢見不鮮。懸鏡供應(yīng)鏈安全情報(bào)中心在監(jiān)測全球數(shù)字供應(yīng)鏈風(fēng)險情報(bào)時注意到，近年來在開源組件的引用過程中，供應(yīng)鏈投毒事件及安全漏洞數(shù)量劇增。

點(diǎn)擊獲取詳情??

1供應(yīng)鏈投毒預(yù)警|開源供應(yīng)鏈投毒202404月報(bào)發(fā)布（含投毒案例分析）

2供應(yīng)鏈投毒預(yù)警|惡意Py組件tohoku-tus-iot-automation開展竊密木馬投毒攻擊

3供應(yīng)鏈高危漏洞披露|Winmail郵件系統(tǒng)曝出存儲型XSS漏洞

該用戶業(yè)務(wù)覆蓋全球，在多個國家和地區(qū)開展油氣勘探和生產(chǎn)活動，同時也積極參與國際油氣市場的合作與競爭。近年來，該用戶不斷推進(jìn)信息化建設(shè)，軟件已成為輔助生產(chǎn)、管理和決策的重要手段。在此過程中，確保數(shù)字供應(yīng)鏈的安全性成為信息化建設(shè)中的重要一環(huán)，全方位提升數(shù)字供應(yīng)鏈的安全檢測技術(shù)，是實(shí)現(xiàn)“本質(zhì)安全”的重要手段。

懸鏡第三代

DevSecOps數(shù)字供應(yīng)鏈安全管理體系

懸鏡安全以“代碼疫苗”技術(shù)為內(nèi)核，以積極防御框架為實(shí)戰(zhàn)驅(qū)動，以運(yùn)行時輕量級單探針為應(yīng)用載體，構(gòu)筑了原創(chuàng)專利級“全流程數(shù)字供應(yīng)鏈安全賦能平臺+敏捷安全工具鏈+供應(yīng)鏈安全情報(bào)服務(wù)”的第三代DevSecOps數(shù)字供應(yīng)鏈安全管理體系。在DevSecOps敏捷安全體系建設(shè)、數(shù)字供應(yīng)鏈安全審查、開源供應(yīng)鏈安全治理和云原生安全體系建設(shè)四大典型應(yīng)用場景下，為用戶構(gòu)筑適應(yīng)自身業(yè)務(wù)彈性發(fā)展、面向敏捷業(yè)務(wù)交付并引領(lǐng)未來架構(gòu)演進(jìn)的內(nèi)生積極防御體系，幫助數(shù)千行業(yè)用戶構(gòu)建安全、高效、智能的數(shù)字應(yīng)用。

在數(shù)字供應(yīng)鏈的四個關(guān)鍵管理階段：引入、生產(chǎn)、交付和運(yùn)營環(huán)節(jié)分別采用不同的風(fēng)險治理措施，以確保覆蓋全生命周期的數(shù)字供應(yīng)鏈安全。

引入階段

在軟件源頭引入安全審查能力，包括源代碼質(zhì)量缺陷和安全缺陷檢測、開源組件漏洞/許可風(fēng)險審查能力、SBOM物料清單檢測能力和開源組件基線清單等，審查對象涵蓋二進(jìn)制、源碼包、容器制品等。

生產(chǎn)階段

在軟件開發(fā)環(huán)節(jié)進(jìn)行安全治理，對接DevOps平臺、無縫集成CI/CD流程實(shí)現(xiàn)門禁控制，自動化執(zhí)行SCA、IAST、DAST、SAST安全掃描，并進(jìn)行供應(yīng)商安全生產(chǎn)能力評估、供應(yīng)采購軟件安全檢測、開源組件基線清單合規(guī)檢測等，建立DevSecOps敏捷安全體系、加速安全開發(fā)周期。

交付階段

持續(xù)對交付的二進(jìn)制包、源碼包、安裝包、軟件物料清單SBOM等進(jìn)行上線審查，檢測其API安全風(fēng)險、開源組件漏洞/許可風(fēng)險、容器鏡像安全風(fēng)險等，確保應(yīng)用交付前的完整性和安全性。

運(yùn)營階段

在應(yīng)用上線運(yùn)營環(huán)節(jié)持續(xù)監(jiān)測，基于RASP運(yùn)行時自免疫、PTE自動化滲透測試、運(yùn)行時SCA、供應(yīng)鏈安全情報(bào)預(yù)警服務(wù)等能力，綜合管理和響應(yīng)安全事件。

該項(xiàng)目基于第三代DevSecOps數(shù)字供應(yīng)鏈安全管理體系的落地實(shí)踐，將為用戶建立數(shù)字供應(yīng)鏈全生命周期的安全管理，健全數(shù)字供應(yīng)鏈安全綜合防護(hù)體系，確保安全運(yùn)營工作可管、可控、可審計(jì)，從而最大限度降低數(shù)字供應(yīng)鏈安全風(fēng)險，落實(shí)數(shù)字供應(yīng)鏈安全防護(hù)主體責(zé)任。未來，懸鏡將持續(xù)立足技術(shù)創(chuàng)新和產(chǎn)業(yè)實(shí)踐，守護(hù)中國數(shù)字供應(yīng)鏈安全。