默安科技软件供应链安全治理解决方案_资产风险监控

默安科技软件供应链安全治理解决方案

默安科技软件供应链安全治理解决方案，全面覆盖所有场景，确保风险引入渠道查无遗漏。通过提升技术检测手段、同时加强规范管理制度建设，配合服务保障落地效果。从业务角度梳理软件供应链周期，帮助企业面向全周期各个环节实施安全治理，确保各环节向下的交付物安全可控，有效避免风险的扩散。

立即咨询

首页 > 产品中心 > 应用安全 > 默安科技软件供应链安全治理解决方案

软件供应链安全的“内忧外患” icon

国内外软件供应链成为重点攻击对象

软件供应链成为世界各国之间互相制约与竞争的重要手段，技术封锁和出口管制严重影响软件供应链完整性。软件供应链事件影响范围巨大，如Xcode非官方版本恶意代码污染事件、远程终端管理工具Xshell后门事件、开源组件Fastjson反序列化漏洞等。国家对软件供应链的自主可控、安全高效提出更高的要求。

软件供应链风险点增多

软件复杂化导致供应链过长，引入风险环节多，增加安全检测和维护的难度。软件供应链使风险得以自上而下扩散，上游供应商软件、开源组件、服务漏洞等，任何小问题都可能酿成重大缺陷。攻击面的扩大降低攻击者的攻击难度，容易引起联锁反应。购买商业软件或外包开发通常疏于对安全的验收，设计缺陷、深层次漏洞难以发现。

软件供应链问题缺少体系化的安全治理

各个安全软件之间相互割裂，情报数据无法汇总，风险挖掘不及时。现有软件供应链解决方案覆盖不全、自动化程度低、脱离实际业务，无法有效发挥作用。敏捷开发下对自动化程度要求高，安全无法融入开发环节，导致软件供应链安全管控缺失。

软件供应链全流程安全治理的技术体系 icon

软件供应链安全治理实践的优势 icon

更全面技术

考虑到自主开发、离场/远程外包、购买成品商用软件等场景的广泛性，以及多场景共存的情况，全面覆盖所有场景，确保风险引入渠道查无遗漏。

安全质量门禁

通过设计流程与控制标准，输出可作为企业判断标准的安全技术要求，设计安全质量门禁与安全技术要求遥相呼应，确保卡点之前的环节没有重大的软件供应链安全风险残留。

多手段加持

把握问题的关键，辩证地处理软件供应链安全风险，通过提升技术检测手段、同时加强规范管理制度建设，配合服务保障落地效果。

全周期管控

从业务角度梳理软件供应链周期，帮助企业面向全周期各个环节实施安全治理，确保各环节向下的交付物安全可控，有效避免风险的扩散。

如何从源头解决软件供应链风险的输入？ icon

组件库治理

1、开源组件漏洞持续监测，制定开源组件使用建议；

2、自研组件安全性检测，安全的组件可以内部分享；

3、组件私库制定入库标准，配套入库检测，定期监控；

4、配套组件管控制度落地。

提前梳理安全需求

1、提前考虑安全需求，与采购环节对接，将需求左移；

2、重视安全需求的积累，提升安全效率、安全共识。

优化采购规范

1、增加采购环节对软件供应链安全的要求;

2、增加招标、合同、审计等文件中的软件供应链条款。

提前梳理安全需求

1、提前考虑安全需求，与采购环节对接，将需求前置;

2、重视安全需求的积累，提升安全效率、安全共识。

软件供应商管理

1、将软件供应链安全保护能力纳入供应商评估标准;

2、监督软件供应链安全需求的履约能力。

从源头解决软件供应链的输入-安全需求前置 icon

从源头解决软件供应链的输入-组件漏洞治理 icon

软件成分列表包含库名、所属语言、风险类型、当前版本号、最新版本号、开源许可证、所属项目、操作等。

开源组件成分及漏洞分析

− 开源组件的版本、漏洞非侵入性检测；

− 开源组件的开源许可类型及有效性分析。

自研组件风险分析

− 针对自研组件存在的漏洞、逻辑风险等进行分析。

已有项目的组件成分分析

− 已有项目引用的开源组件、自研组件成分记录和分析；

− 已有项目的组件风险分布情况；

− 组件最新版本情况参考。

组件私库准入及引用管控

− 对有组件私库的企业，严格控制组件入库；

− 库内组件风险定期检测更新。

从源头解决软件供应链的输入-软件供应商管控 icon

交付标准

制定软件交付的供应链安全标准，预先获得软件供应商的承诺，并落实到具有法律效力的文件上。

履约考核

对供应商之前交付软件存在的安全漏洞、不满足安全需求情况进行记录，制定供应商服务能力基线，定期考核。

采购管控

采购规范、招投标模板、合同模板、软件审计要求……

开发过程中如何做好软件供应链风险管控？ icon

开发环境和工具治理

建立开发环境和工具安全规范：从开发环境和工具的安全治理出发，帮助建立《开发环境安全管理规范》、《开发工具安全管理规范等》等管理文档。

人员安全规范治理

提升开发人员安全意识：建立驻场开发人员安全规范从驻场开发环境和流程分析，帮助建立《驻场开发人员安全管理规范》等管理文档。人员安全规范治理：开展针对开发人员的软件供应链安全意识培训，配套软件供应链开发规范落地。

开源软件使用治理

建立软件安全开发规范：根据开发业务现状，帮助建立《开源软件引入编码规范》、《开源软件编码检查规范》、《开源软件安全测试规范》等管理文档。建立开发环节安全检查机制：贴合开发流程，在代码提交环节、软件测试环节均加入对开源软件的安全检查流程，采用的工具包括雳鉴SCA，可独立或嵌入DevOps流程。

软件交付时如何做好软件供应链风险管控？ icon

外包开发/商业软件治理

建立软件安全验收能力

根据安全需求对交付的商业软件做安全验收检查，确保提供软件与承诺相符。采用的工具包括DAST、SAST*、 IAST*、SCA*、渗透测试。

评估供应商安全实践能力

提高供货商安全水平能大幅提高软件安全性和可用性，如企业的资质检查（ISO27001等），企业安全开发审查，企业的市场安全口碑评估，曾经购买的该企业软件安全性评估。

提升测试人员安全意识

开展针对测试人员的软件供应链安全意识培训，配套软件供应链测试规范落。

软件应用阶段如何确保风险的有效控制？-上线/发布环境控制 icon

1、建立一般环境下安全监测能力

围绕发布环境实际情况，针对一般环境中操作系统漏洞和基线情况提前检测确保安全性，之后再部署。

2、建立云环境下安全监测能力

在云环境下的容器镜像安全及配置问题，提前检测确保安全性，之后再部署。

软件应用阶段如何确保风险的有效控制？-运行阶段控制 icon

建立开源软件漏洞运营能力

在软件运营期间，持续检测开源软件的漏洞情况，一旦发现严重漏洞应尽快定位影响范围，并采取应急措施。采用的工具包括SCA*，并配合开源漏洞安全运营服务，应急响应服务。

建立敏感信息泄漏监测机制

为防止代码泄漏导致安全风险，建立持续的代码泄漏监测机制，重点监控GitHub等平台是否包含敏感代码。采用的工具包括巡哨*。

建立软件供应链安全运营规范

从运营业务角度出发，帮助建立《软件发布平台安全运营规范》、《开源软件漏洞运营规范》、《软件敏感信息监控规范》等管理文档。

不同场景下的治理方法——多级架构下的统一监管 icon

面对多级组织架构下的软件供应链安全，应按需选择能力、分阶段实践。（1）需求分析阶段：下级单位新项目需求，提交至省级公司统一定级和威胁建模。（2）安全设计阶段：省级公司确认安全需求后，将安全需求与设计同步给下级单位。（3）系统开发阶段：供应商根据项目需求进行研发；研发完成后供应商应自行检测，并将报告与代码一同交付。（4）安全测试阶段：由省级公司按上线标准进行安全测试。（5）上线评审阶段：由省级公司统一进行上线评审，对未通过系统打回修复。（6）运维管理阶段：上线后应用系统若有发生变更，下级公司需重新提交变更需求，进行安全检测，达到上线标准后，方可替换旧系统上线。

不同场景下的治理方法——软件生命周期漏洞跟踪闭环

雳鉴DSMP管理平台 icon

需求提出
威胁建模需求分析

安全需求正向卡点流程支持

版本&安全需求全生命周期追踪

业务视角威胁建模BI分析

安全开发
安全需求开发响应跟踪

系统安全组件安全分析

静态代码审计能力支持

测试
安全需求响应卡点

系统安全组件安全分析

静态代码审计能力支持

动态交互测试能力支持

测试/发布环境合规、风险能力支持

第三方渗透测试报告智能分析

统一聚合分析报告

安全运营
专项安全行动

常规渗透测试

重保安全

等保安全

企业常规安全能力业务支撑

客户案例——浙江省农村信用社联合社

软件供应链安全现状

1、安全开发基础薄弱

省农信联社下辖82家县（市、区）行社，在省县两级开发模式下，仅每年科技管理部新立项项目100余个、并行社开发业务数百项。同时安全开发SDL体系与技术能力缺失，想要维持全省统一的安全开发水平是异常艰难的。

3、运营阶段遭到忽视

软件的开发和运营分别由开发部门和安全部门负责，分属2个独立团队，开发部门确保上线时应用是安全的，安全部门负责将已知安全的应用放到安全的环境中运营。而运营过程中应用遭受的供应链漏洞、泄漏等问题往往后知后觉。

2、安全测试大量外包

安全测试以外包为主，缺乏安全能力和知识的沉淀，从研发到测试岗位对软件安全风险均缺少自主的控制手段，对风险现状说不清、难解决、难追溯。

4、制度流程不尽完善

因缺少对软件供应链安全风险的关注度，加之安全开发基础薄弱，省农信联社上缺少防范制度下缺少流程指南，软件供应链安全治理落地之路坎坷。

项目主要建设内容

软件供应链安全治理体系建设

梳理软件供应链周期和阶段性风险，根据现有安全管理制度，设计软件供应链安全治理流程，深度优化安全活动并嵌入流程之中，最终建立起与之配套的安全治理体系。

各项软件供应链安全治理能力

软件供应链安全需求咨询，SCA软件成分分析，渗透测试，安全功能审核，上线前安全评估，上线后的主机及应用环境检查、应用恶意代码排查。

完善各项规章制度及模板

《信息安全事件管理办法》《信息系统运维管理制度》《软件开发项目管理制度》《应用安全需求清单》《应用安全需求设计指南》《开发安全编码指南》《开发安全测试用例》各个阶段的文档模板、检测报告及建议书。

客户案例——浙江省农村信用社联合社 icon

客户案例——浙江省农村信用社联合社 icon

安全需求咨询分析

共输出安全需求183 条，其中提炼出23条通用需求、25条场景化需求。闭环需求，完善每条需求对应的项目场景、项目类型、测试方案。编写《安全需求指南》，帮助指导需求设计。

第三方组件清单SCA扫描

梳理第三方组件清单；定位组件问题漏洞与许可风险；评估组件修复；组件1day漏洞应急；提供安全开发培训，包含软件供应链安全内容。

安全需求验证交叉渗透测试

针对需求阶段提出的软件供应链安全需求，执行闭环检测。经验证某系统存在多个越权类安全风险，发现7条不合规项。

上线安全评审环境安全检测

丰富上线安全评审的参考数据，提供IAST检测结果辅助决策。根据最近的运营评估材料，确保上线环境安全。

运营环境安全检测

关注资产暴露面风险，配合互联网资产梳理和威胁排查，提供远程漏洞扫描、渗透测试；关注内部环境安全，配合现场漏扫、安全基线检查、恶意代码排查等。

与DevOps集成的软件供应链工具模型 icon

可持续的软件供应链安全治理手段 icon

创始人-国内顶尖云安全创世团队 icon

技术团队

从业经历

团队由原供职于阿里巴巴、蚂蚁金服、腾讯、百度、华为、趋势科技、绿盟等知名企业的多名安全专家组成。在互联网金融、电商、运营商、政府、金融、物流等领域都有非常成熟的安全经验。

技术实力

拥有多项技术专利和软件著作权，涉及网站防篡改、设备识别、业务逻辑漏洞等多个前沿领域。

实战经验

为G20峰会保驾护航，圆满完成“两会”信息安全保障工作。为第十九次全国代表大会、世界互联网大会乌镇峰会、进博会、改革开放40周年暨港珠澳大桥开通等重要活动提供网络安全保障服务。

三大实验室

影武者实验室：为Apple、Microsoft、Google、IBM等国际知名公司发现漏洞并获得致谢。数据实验室：研究并发布业内首个AI安全大脑。加特林实验室：多次红蓝对抗中成绩优异。云计算安全实验室：研发出检测响应一体化的云平台安全解决方案业内率先推出混合云安全管理平台。

资质证书

✓ 国家互联网应急中心浙江分中心合作支撑单位

✓ 浙江省互联网协会网络安全技术服务支撑单位

✓ 信息安全服务资质证书（安全开发类一级）

✓ 信息安全服务资质认证证书（信息安全风险评估三级服务资质） ✓ 信息安全服务资质认证证书（信息系统安全运维三级服务资质） ✓ 中国通信企业协会通信网络安全服务能力评定证书（一级风险评估能力）

✓ ISO9001质量管理体系认证

✓ 杭州市高新技术企业

资质证书

✓ 2017年最具投资价值企业

✓ 2018中国网络安全产业发展及投资价值60强

✓ 2018CCF-GAIR“AI+安全”最佳商用成长奖

✓ 2018CSS Future Power 50 安全新锐力量

✓ 2018《互联网周刊》“数字中国推动者TOP100”

✓ 2018ISC“安全创客汇” 年度十强 ✓ IDC中国威胁情报安全服务市场创新者

✓ 2018安全牛“网络安全行业全景图”酷厂商

✓ 2018年度双11企业服务企服英雄榜第18位

✓ 政务云安全方案获2018年广东省电子政务优秀案例

✓ 万科应用系统开发安全项目获i黑马2018企业服务企服案例TOP50

✓ 2018年赛迪网络安全潜力企业榜80强

✓ 2019年杭州准独角兽企业

产品推荐查看更多>>

亿格云SASE零信任办公安全访问解决方案

亿格云SASE零信任办公安全访问，为企业提供更简单、安全、稳定的安全办公一体化解决方案服务。

统一身份认证/MFA

终端准入管控

全域资产可视可控

互联网安全检测防护体系

立即咨询查看详情

悬镜灵脉IAST灰盒安全测试平台

灵脉IAST是全球首个基于代码疫苗技术实现应用安全透明众测的交互式应用安全测试平台,通过全场景流量分析技术,如运行时应用插桩(含主动及被动)、启发式爬虫、代理/VPN及流量管家等和原创AI渗透启发技术,在不改变现有IT流程的情况下，赋能开发测试人员,在完成应用功能测试的同时自动化实现业务代码上线前的深度安全测试,重点覆盖90%以上的中高危漏洞,防止应用带病上线, 保障软件供应链开发环节的安全运行。

应用漏洞扫描

应用安全测试平台

供应链威胁审查

应用资产测绘

立即咨询查看详情

深信服零信任桌面云

深信服零信任桌面云，“5A+S”办公，一致性体验，实现任何时间，任何地点，任何设备，任何网络，任何云的办公接入，为数字化转型以及疫情持续等形势下的多态混合办公模式提供基础保障。轻松实现规模化远程办公，资源集中管理，统一运维，快速排障，切实提升人效比。

快速上线

无界办公

高安全

保护投资

立即咨询查看详情

数字化社区查看更多>>