「藍色畫面」事件背後,保障軟體供應鏈安全的4個要素你知道嗎?

十月 19, 2024 by · Leave a Comment
Filed under: killtest 

微信图片_20241019101351
隨著軟體技術的發展以及產業情勢的變化,我們對軟體產品的關注角度也在不斷改變——從傳統的軟體產品品質(如功能、性能效率、相容性、可靠性等)到軟體產品的訊息安全性(如保密、完整性、抗抵賴性等),再到目前備受關注的軟體供應鏈安全。
2024年7月的微軟「藍色畫面」事件,再次引發了人們對軟體供應鏈安全的高度關注。那麼,我們該如何理解軟體供應鏈安全呢?首先,要了解軟體供應鏈的概念:軟體供應鏈是“需方和供方基於供應關係,開展並完成軟體採購、開發、交付、獲取、運維和廢止等供應活動而形成的網鏈結構” 。
其次,要了解軟體供應鏈常見安全風險:包括軟體漏洞、惡意篡改、軟體後門、供應鏈劫持、智慧財產權違規使用、供應中斷、資訊外洩等。再次,要了解軟體供應鏈安全的目標:在確保軟體程式碼安全的基礎上,使得使用者能夠安全、持續、穩定地使用軟體產品及軟體所涉及的支援服務。最後,要了解保障軟體供應鏈安全的4個要素(如圖1):軟體程式碼來源、軟體程式碼安全、軟體傳播與使用安全、軟體創新與演進。以下將為您詳細介紹這4個要素。
微信图片_20241019101454
圖1 保障軟體供應鏈安全的4個要素

掌握軟體程式碼來源確定軟體程式碼來源是分析軟體供應鏈的基礎,可以透過建立軟體物料清單(SBOM)明確技術來源,使軟體供應鏈清晰、透明。軟體物料清單包含建構軟體所使用的各種組件的詳細資訊及供應鏈上下游依賴關係。
確保軟體程式碼安全軟體程式碼安全依賴軟體生產過程及成果物的安全。一方面,確保軟體生產流程(即軟體開發)涉及的開發環境(包括各類開發工具、平台)、開發配置、安全功能設計、程式碼實現與託管、測試、開發人員等因素的安全;另一方面,確保最終成果物(即軟體)的程式碼品質符合安全要求,即對軟體原始碼、二進位程式碼等進行安全檢測,查看是否有病毒、安全漏洞、後門、惡意程式碼等。
確保軟體傳播與使用安全軟體的價值在於廣泛傳播和使用。軟體傳播主要從智慧財產權合規、軟體發布與交付2個面向考查其安全性。智慧財產權合規確保軟體的傳播不會引入與智慧財產權相關的法律風險,軟體發布與交付要確保使用者取得的軟體不會被惡意篡改。軟體使用主要從軟體的運作環境、升級維護及安全保障3個面向考查其安全性。運作環境包括底層的伺服器、虛擬機器、容器等,升級維護包括技術支援、版本升級、修補程式更新等,安全保障主要從漏洞的發現、影響範圍排查、處置、上報、修復等方面進行考查。
增強軟體創新與演進能力軟體供應鏈安全的關鍵在於對核心技術的掌控,不僅體現在能獨立自主研發及實現軟體的核心模組或元件,還包括對開源軟體中核心程式碼、核心技術的吸收。因此,可從軟體核心模組自主研發能力、核心模組替換方案、客製化最佳化能力、對上游社群的程式碼維護貢獻、社群及產業成熟度等方面衡量軟體的創新演進能力。

【摘编自《保密科学技术》2024年2月刊《软件供应链安全能力模型研究》一文,作者: 翟艳芬、袁薇、王郁】… Continue reading

Tags:

SD-WAN 如何解決多雲複雜性

一月 12, 2024 by · Leave a Comment
Filed under: killtest 

Warning: Division by zero in /var/www/html/wwwroot/itrenzheng.hk/wp-content/themes/code-blue_20/functions.php on line 16

Warning: Division by zero in /var/www/html/wwwroot/itrenzheng.hk/wp-content/themes/code-blue_20/functions.php on line 16

Warning: Division by zero in /var/www/html/wwwroot/itrenzheng.hk/wp-content/themes/code-blue_20/functions.php on line 16

思科联天下 作者:JL Valente Vice President, Product Management, Enterprise Routing and SD-WAN
《2023 年全球網路趨勢報告》系列部落格文章(二)

在支援分散式員工方面,雲端是毋庸置疑的重點。 但是,在規模不斷擴大的多雲環境中管理安全連線卻變得日益複雜、耗時且費用高昂。

軟體定義廣域網路 (SD-WAN) 應運而生。 這種強大的抽象軟體層可以用作集中控制平面,讓組織得以實現從任何應用到任何雲端的網路傳輸自動化、簡化和最佳化。

您是否已經準備好基於集中策略、網路洞察和預測性 AI 按需引導流量並透過端到端可視性進一步增強流量引導能力? 在管理此流量和運行網路時,您想變得被動為主動嗎? 如果是的話,請繼續往下看!
消除多雲複雜性
在疫情期間,為了支援在家中和途中辦公的分散式員工,企業加快了轉型為雲端和軟體即服務 (SaaS) 的步伐。 這使得多雲環境成為常態。 我們的《2023 年全球網路趨勢報告》發現,92% 的受訪者在基礎設施中使用多個公有雲,69% 的受訪者使用的 SaaS 應用程式超過五個。

在多雲環境中連接到不同的供應商和網路層導致基礎設施和管理控制器零星分散。 因此,如果組織希望確保提供安全、一致的使用者體驗,則會面臨更高的複雜性和成本。

網路複雜性貫穿從第一英里到最後一英里的全程

下面,讓我們研究一下這些網路層,看看為什麼 IT 簡化對於當今移動性極強的員工存取業務關鍵型應用至關重要。

在第一英里,使用者使用各種設備,或從靠近資料中心的辦公室和園區存取服務,或從不受受控設施遠端存取服務(圖 1)。 員工透過多協議標籤交換 (MPLS)、寬頻、Wi-Fi 和蜂窩網路建立連線。 遠端員工透過網際網路業者 (ISP) 連接到位於地區性入網點 (PoP) 的集中器。
640
圖 1… Continue reading

Tags: