开源组件安全面对安全左移带来的挑战研究

目前,很多软件由共享的开源组件组成,一旦某个组件出现安全问题,将造成重大影响。为了解在安全左移条件下通过软件成分分析(SCA)方法得到的开源组件安全状况误差及其产生的原因,梳理开源组件安全测试在安全左移中的常见场景,并基于此构建测试用例。选择蜕变测试方法,使用SCA工具进行安全测试并统计分析。实验结果显示,二进制SCA和编译SCA重叠部分数据占比不超过60%。基于BOM的SCA中以编译方式执行检测BOM结果的精确度、召回率等指标在大部分情况下均超过90%;源码不编译方式SCA相较于编译方式的检测结果中组件的精确度、召回率等指标均在40%左右,但关于漏洞检测与解决的相关指标在90%左右。软件供应链的二进制制品检测与源代码处于无法编译状况下的安全左移场景检测结果精确度不足,而对于BOM文件的安全测试结果有效可靠。

GB/T 37931-2019在商业银行安全防控场景研发阶段的应用实践

为提高商业银行在研发阶段的安全漏洞防控能力,将新型安全技术与创新管理思维相结合,以“安全左移”为核心理念,依据GB/T 37931—2019《信息安全技术Web应用安全检测系统安全技术要求和测试评价方法》,开展标准的解读、设计及验证活动,打造研发阶段应用安全防控平台,实现运行时防护、交互式检测、DevSecOps安全门禁等功能。该平台能准确掌握应用内部漏洞信息、主动发现、高效预警、紧急阻断,显著提高金融系统应用安全漏洞的检测效率、精度和效益,助力企业构建灵活高效的纵深防护体系。

一种软件安全开发管控平台在车企中的应用

在“软件定义汽车”及智能化、网联化趋势下,软件对汽车的重要性持续攀升,汽车软件的安全越来越重要。为了应对针对汽车不断发生的网络攻击安全事件,汽车企业需要在软件开发的早期及早识别软件的缺陷和弱点,在软件开发的各阶段介入安全措施。因此,一种“安全左移”软件安全开发管控平台被提出。平台可协助汽车企业落地实施软件安全开发,积累软件安全开发技术,储备软件安全开发人才,帮助企业不断完善软件安全开发流程,增强软件产品安全能力,提升汽车企业整体安全水平。通过在汽车企业的落地,有效减少了汽车软件产品的安全漏洞,管理上全局可视,业务上安全内生,形成了汽车企业的安全开发流程标准。该平台为汽车行业软件安全开发管控提供了新的思路。

5G新型基础设施的安全防护思路和技术转换

5G作为当前新基建中最重要的网络基础设施之一,在接入网、核心网采用了大量新技术、新架构,其带来的风险和安全运营变化需要重点关注。与安全防护技术的升级相比,5G环境下整体安全防护思路调整显得更为重要,文章介绍了5G新型网络面临的安全挑战及其对应的安全防护理念和技术改变。

DevSecOps在数字政府建设中的实践研究

政务业务系统作为数据的重要载体,往往是最重要的攻击对象,而政府的安全建设更加关注合规要求,通过安全产品和安全服务保障业务运行,应用内生安全被忽视.为适应当前数字政府的高安全要求,符合当前数字政府集约化建设的场景,需要将安全左移,关注供应链和应用内生安全,政府的信息化项目建设模式需要将开发工作前置,安全需要与研发过程紧密结合.DevSecOps作为新兴起的安全开发模式开始涉足数字政府应用开发领域.基于DevSecOps赋能的应用开发安全体系可以改进开发流程,降低安全修复成本,缩短开发周期,大大提升数字政府应用安全水平。

源代码检测分析技术与应用研究

随着近几年的实战攻防演练的强度增加以及拍打力度的增强,源代码检测技术迄今为止仍是有待解决的重要问题。不同于软件缺陷,源代码漏洞更加难以识别和修复。文章从源代码安全的必要性、软件供应链安全的安全风险和不可控风险出发,重点阐述了源代码检测的技术原理、技术难点以及目前国产源代码的技术突破,同时对“安全左移”的具体落实提出建设性意见。

企业数据安全合规治理的关键问题与纾解

中国企业数字化转型中的结构性治理目标是发展兼顾安全,但企业数据合规中“被动防范”和“主动保障”成效不彰,转而束缚企业发展。因此,安全治理是企业数据合规的必经之路。然而,企业数据安全合规面临法律政策高压、理论方法滞后、技术工具匮乏等挑战,呈现出结果导向治理范式的不足。鉴于此,应当转变治理策略,通过融合数据控制与合规治理理论,将被动合规转化为主动治理,使后端惩罚转向过程管理和价值释放。质言之,实现企业数据治理向数据生命周期的前端并拢,即“安全左移”。具体而言,基于数据生命周期及内生安全架构开展数据安全合规治理,以界定数据权责与分级分类,实现数字身份的访问控制,进而实现“不见数据”的价值交易。同时更进一步探讨构建企业数据治理架构,融入隐私保护和数据安全的规则内容,实现在不同场景领域下数据安全合规的需求。