奇安信集團 - 奇安信兩案例入選信通院2022安全守衛者計劃優秀案例－鑽石舞台

近日，中國信息通信研究院公布了2022安全守衛者計劃。憑藉在軟件供應鏈安全的豐富實踐和技術積累，奇安信申報的「基於DevOps的供應鏈安全實踐」和「開源軟件安全治理體系」獲2022安全守衛者計劃優秀案例。中國信通院還公布了「業務安全推進計劃」成員單位，奇安信集團入選為首批成員單位。

近年來，針對軟件供應鏈的攻擊事件一直呈快速增長態勢。根據奇安信發布的《2021中國軟件供應鏈安全分析報告》數據顯示：國內企業軟件項目100％使用了開源軟件；超8成軟件項目存在已知高危開源軟件漏洞；平均每個軟件項目存在66個已知開源軟件漏洞，15年前的開源軟件漏洞仍然存在於多個軟件項目中。

無所不在的軟件漏洞，成為軟件供應鏈安全的核心威脅。對此，奇安信推出了面向軟件供應鏈安全的整體解決方案，積極推進國內企業軟件供應鏈安全建設。

在浙江移動「基於DevOps的供應鏈安全實踐」案例中，奇安信協助浙江移動建立了供應鏈安全治理和管理體系，並通過奇安信代碼衛士、奇安信開源衛士與浙江移動軟件代碼庫、私服製品庫等研發平台對接，在研發、測試環節提供源代碼缺陷檢測、開源組件安全檢測，通過工具、技術手段將可以自動化、重複性的安全工作融入到研發體系內，讓安全屬性嵌入到整條流水線，提高軟件質量和供應鏈安全治理水平。

通過項目的落地應用，不僅為浙江移動規範了開源軟件的全生命周期流程，規範供應商的軟件代碼安全開發和准入流程，建立了開源軟件資產管理能力、開源軟件漏洞檢測能力、源代碼審計能力，大幅提升了IT系統供應鏈開源軟件檢測項目覆蓋率，建立開源軟件安全漏洞情報機制、提高了開源軟件的風險排查及響應速度，還在運營商行業開展源代碼檢測、開源軟件治理安全實踐，實現DevOps流程和研發安全融合，為集團總部和其他同行積累了開源軟件治理經驗。

在為某商業銀行打造的「開源軟件安全治理體系」中，奇安信針對用戶的業務和應用需求，搭建了一套B/S架構解決方案開源衛士，構建了開源軟件准入管控、開源軟件資產識別、漏洞及協議風險分析、開源軟件最新漏洞情報監測等四大典型應用場景。

該方案不僅建立了系統-源碼-組件-漏洞情報的關聯關係，以可視化的方式呈現全行開源軟件資產和漏洞台賬，還在DevSecOps落地場景中對接客戶的開發、測試系統，讓開源衛士無縫融入銀行現有研發流程，實現日常開發自動化檢測，並建立起配套的安全管控流程和制度，方便該銀行更加規範、標準的治理開源軟件安全問題。

相關負責人介紹，本次「安全守衛者計劃」優秀案例徵集評選，旨在通過安全產品、解決方案、安全服務的湧現，為企業數字資產安全提供有力保障，提供可靠的生產環境，提高效率，降低風險。

此外，奇安信還作為「業務安全推進計劃」首批成員單位，獲得中國信通院授牌。