墨菲安全在软件供应链安全领域阶段性总结及思考

news2024/11/15 13:22:10

向外看:墨菲安全在软件供应链安全领域的一些洞察、思考、行动

洞察

现状&挑战:

  1. 过去开发安全体系是无法解决软件供应链安全问题的;
  2. 一些过去专注开发安全领域的厂商正在错误的引导行业用开发安全思维解决软件供应链安全问题,治标不治本;
  3. 这导致行业(安全厂商/企业/监管)大部分人对于软件供应链安全仍然缺乏理性的认知;
  4. 过去以开发安全为主营业务的安全厂商将越来越无法适应软件供应链安全领域日益成熟的市场需求;

正在发生的:

  1. 一些行业头部客户及先行者已经在以新的思路思考软件供应链安全问题并付诸实践;
  2. 一些行业监管部门对软件供应链安全领域重视度非常高且视野非常开阔,并且正在付诸行动;
  3. 墨菲安全的理念和解决方案正在互联网、金融、运营商、能源及央国企的一些头部客户中被广泛接受;
  4. 一些行业的先行者已经在软件供应链领域的开源安全治理方向实现成熟实践

思考

为什么这么说?

一个行业越成熟,那么其生产过程中供应链体系就越完善和标准化,比较典型的案例就是汽车的生产和制造;

以汽车生产和制造为例,这个行业非常成熟,因此其供应链体系也相当完善和标准化。以下是一些具体的表现:

  1. 供应商网络:汽车生产和制造需要大量的零部件和原材料,因此汽车公司通常会与一系列供应商建立长期合作关系。这些供应商通常会遵循行业标准和规范,以确保零部件的质量和交货时间。
  2. 物流和运输:汽车生产和制造需要高效的物流和运输系统,以确保零部件和产品的及时交付。随着行业的成熟,物流和运输体系也会变得更加标准化,从而提高效率。
  3. 质量管理:汽车生产和制造需要严格管理生产制造过程中引入各个组件的质量,以确保最终产品的质量和安全性。从确定需求标准联系供应厂商,到试生产验证和正式生产验收交付,都需要组件达标。随着行业的成熟,质量管理标准也会更加严格和规范。
  4. 信息技术:随着信息技术的发展,许多汽车生产和制造公司已经开始采用物联网、大数据、人工智能等先进技术来优化供应链管理,提高生产效率和质量。

总的来说,随着汽车生产和制造行业的成熟,其供应链体系也会变得更加完善和标准化。这不仅可以提高生产效率和质量,还可以降低成本和风险。

反观,今天企业软件应用的生产过程正在经历这么一个逐渐走向成熟的过程,据权威数据统计目前各行业企业的软件应用大概来自供应链的成分占比超过90%,据工信部数据显示2022年全国软件及信息化相关服务市场规模超过10万亿,到2028年还将翻一番来到20万亿,而当前软件产业链在安全上的投入恐怕连0.1%(100亿)都不到,这里面未来发展的空间非常大。

而从当下实际情况来看,我们的软件供应链体系非常缺乏全过程的安全质量管理,这就导致今天我们看到的每天都会爆出大量通用软件的0day漏洞及投毒事件,且大部分软件在爆出这些漏洞后并没有得到妥善的处置,软件供应商无法及时通知他们的企业客户去妥善处置,进而导致使用这些供应商软件的企业客户被入侵、数据泄露、加密勒索、攻防演练期间被攻破等,过去几年比较典型的就是Solarwinds事件、工商银行美国子公司被攻击事件等。

今天软件供应链体系的安全质量管理问题到底出在哪?我认为主要有以下几个方面的问题:

  1. 企业的软件应用开发过程引入了大量免费的开源软件,开源软件出现安全问题责任认定是不清晰的;
  2. 软件应用的迭代频度非常高,且缺乏严格的管理标准;
  3. 企业和商业软件供应商之间的责任边界不清晰,企业缺乏对商业软件供应商的成熟管理体系;
  4. 行业缺乏对软件供应体系的严格监管(包括标准/评估体系/执法监管);
  5. 行业缺乏成熟且被广泛认可的软件供应链安全成熟产品及解决方案;

而以上五个核心问题的思考和解决,都与传统的开发安全治理有着巨大的差异,我们必须逐个认证分析并深入解决。传统的开发安全体系(SDL/DevSecOps)更多的关注的是软件研发过程中的安全管控,但是实际上软件供应链安全要贯穿软件从生产、分发、应用、持续更新等全过程的管理。

行动及成果

  • 墨菲安全软件供应链商业化产品推出一年,正式签约覆盖互联网、运营商、金融、能源等领域超过50家头部企业

墨菲安全已签约的部分标杆客户(以上排名不分先后)

  • 推出了软件供应链安全平台商业正式版v3,其性能和特性可与全球领先的软件供应链安全厂商刚正面
  • “也许是”全球首个在线开源软件供应链安全技术社区(OSCS),向超3000家企业提供免费的软件供应链情报服务
  • “也许是”国内首个免费软件供应链安全平台产品(murphysec.com),服务超6000家企业的软件应用开发流程的安全保障

向内看:墨菲安全产品及团队快速迭代,赋能推动软件供应链安全体系发展

关于产品:

  • 1+3:1个软件供应链安全平台,3大核心产品覆盖包括开源安全治理、许可证合规、0day漏洞及投毒预警、国家大型攻防演练防护等软件供应链安全治理的八大场景
  • 2年的时间,墨菲安全软件供应链安全平台从v1.0版本已经来到v3.0的成熟版本,并且仍然以两周一个迭代快速提升
  • 签约才是产品服务的开始的理念,持续为客户提供可靠的服务

关于核心技术:

  • “也许是”全球首个专业软件供应链安全知识库(SRKB),覆盖软件供应链漏洞、投毒情报、许可证合规、软件健康度、软件可信等数十个维度的专业数据
  • 知识库赋能数十家头部企业客户,成为他们安全建设的基础必备能力

关于团队:

  • 前梆梆安全COO周欣加盟,搭建成熟的市场营销团队,高效赋能和服务客户
  • 五个联创在知识库能力、工程技术、产品、解决方案及社区运营方面都构建了一个成熟稳定的团队,助力墨菲安全的产品及技术体系快速迭代

关于荣誉及资质:

  • 国高新
  • CCRC
  • CNNVD支撑单位
  • 入选ISC数字安全创新能力百强
  • 入选网络安全优质初创企业HOT50

展望未来:过程是曲折的,未来是光明的

1. 坚定看好软件供应链安全方向机会:

  • 成熟软件行业需要成熟的软件供应链体系
  • 成熟的软件供应链体系极其缺乏成熟的安全质量管理,这就是未来十年最大的机会

2. 看长,toB没有捷径,坚定坚持埋头积累10~20年,你就是市场上最强的,相信时间的复利

  • 软件供应链相比传统汽车等制造业的供应链来说,复杂度高了好几个数量级
  • 没有任何一种单一通用的方法能解决软件供应链安全的所有问题
  • 需要持续积累和迭代软件风险知识库、软件分析能力、软件供应链管理体系

3. 2024年将会有越来越多的企业开展软件供应链安全治理

  • 一方面因为近几年软件供应链安全事件频发,包括国家级的攻防演练中发现的大部分安全问题都是来自供应链
  • 另外一方面,互联网、金融、运营商越来越多头部企业已经开展软件供应链安全治理并且获得最佳实践
  • 此外,行业已经有成熟的软件供应链安全产品及技术解决方案可支撑企业快速落地

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1539086.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Linux:详解https协议

文章目录 什么是https协议信息窃取常见的加密数据摘要和数据指纹https的工作过程只使用对称加密只使用非对称加密都使用非对称加密非对称加密对称加密 证书数据签名https方案 本篇要总结的内容是关于https协议的相关内容 什么是https协议 在讲述https协议之前,首先…

Linux镜像文件下载地址--SCAS 开源镜像站,速度快

SCAS 开源镜像站 https://mirror.iscas.ac.cn/举例: 下载centos7 Index of /centos/7/isos/x86_64/ (iscas.ac.cn)

【C++算法】二分算法、二分模板详解,四道例题带详细注释

文章目录 [toc]1)整数二分2)解二分题步骤AcWing 789.数的范围洛谷 P1873.EKO/砍树洛谷 P1678.烦恼的高考志愿 2)浮点二分AcWing 790. 数的三次方根 1)整数二分 有单调性的题目一定可以二分,但是用二分做的题目不一定拥…

Linux初学(八)磁盘管理

一、磁盘管理 1.1 简介 磁盘的工作原理: 添加磁盘对磁盘进行分区格式化磁盘挂载和使用磁盘 磁盘的类型: 固态机械 磁盘的接口类型: IDESTSTSCSI 磁盘工作的原理: 磁盘,特别是硬盘,和内存不同,…

【Bug】记录2024年遇到的Bug以及修复方案

--------------------------------------------------------分割线 2024.3.22------------------------------------------------------- 1、load_sample_image raise AttributeError(“Cannot find sample image: %s” % image_name) AttributeError: Cannot find sample ima…

nvidia显卡如何安装cuda驱动

目录 查看显卡对应的cuda版本下载与你显卡匹配的CUDA Toolkit 查看显卡对应的cuda版本 按 微软 R 键,输入cmd 然后输入 nvidia-smi ,回车显示下面信息: 看到 CUDA Version 为 12.2 下载与你显卡匹配的CUDA Toolkit 打开网页&#xff1a…

鸿蒙Harmony应用开发—ArkTS-@AnimatableExtend装饰器:定义可动画属性

AnimatableExtend装饰器用于自定义可动画的属性方法,在这个属性方法中修改组件不可动画的属性。在动画执行过程时,通过逐帧回调函数修改不可动画属性值,让不可动画属性也能实现动画效果。 可动画属性:如果一个属性方法在animation…

C++默认构造函数(二)

目录 构造函数补充 构造函数初始化列表的使用 赋值运算符重载函数 运算符重载函数介绍 运算符重载函数的使用 赋值运算符重载函数 赋值运算符重载函数的使用 拷贝构造函数和赋值运算符重载函数 重载前置和后置 前置 后置 重载流插入<<与流提取>> 流插…

C++ 其它

1、内存四区-代码区 2、内存四区-全局区 生成exe后&#xff0c;运行前是代码区和全局区 3、内存四区-栈区 4、内存四区-堆区 5、new *new一个整型10&#xff0c;返回的是该数据类型的指针&#xff0c;所以用int p 所以是int [10]&#xff0c;所以new的是int[10]&#x…

3.23项目:聊天室

1、 基于UDP的网络聊天室 项目需求&#xff1a; 如果有用户登录&#xff0c;其他用户可以收到这个人的登录信息如果有人发送信息&#xff0c;其他用户可以收到这个人的群聊信息如果有人下线&#xff0c;其他用户可以收到这个人的下线信息服务器可以发送系统信息 服务器 #inc…

东方博宜 1469. 数的统计

东方博宜 1469. 数的统计 #include<iostream> using namespace std; int main() {int n ;cin >> n ;int x ;cin >> x ;int cnt ;cnt 0;for (int i 1 ; i < n ; i){int num ;num i ;while(num!0){int g ;g num % 10 ;if (g x)cnt 1 ;num num / 10…

springboot294基于java的火车票订票系统的设计与实现

火车票订票系统设计与实现 摘 要 传统办法管理信息首先需要花费的时间比较多&#xff0c;其次数据出错率比较高&#xff0c;而且对错误的数据进行更改也比较困难&#xff0c;最后&#xff0c;检索数据费事费力。因此&#xff0c;在计算机上安装火车票订票系统软件来发挥其高效…

ElasticSearch首次启动忘记密码,更改密码(Windows 10)

先启动ElasticSearch 启动方式cmd到lasticsearch-8.12.2\bin目录下输入elasticsearch 启动成功后新开一个窗口输入elasticsearch-reset-password -u elastic

《剑指 Offer》专项突破版 - 面试题 88 : 动态规划的基础知识(C++ 实现)

目录 前言 面试题 88 : 爬楼梯的最少成本 一、分析确定状态转移方程 二、递归代码 三、使用缓存的递归代码 四、空间复杂度为 O(n) 的迭代代码 五、空间复杂度为 O(1) 的迭代代码 前言 动态规划是目前算法面试中的热门话题&#xff0c;应聘者经常在各大公司的面试中遇到…

C++ —— 日期计算器

1. 头文件 #pragma once #include <iostream> using namespace std;class Date { public:Date(int year 1, int month 1, int day 1);int GetMonthDay();bool operator>(const Date& d) const;bool operator>(const Date& d)const;bool operator<(c…

机器学习--jupyter-matplotlib使用中无法显示中文

jupyter使用中无法显示中文 在jupyter中&#xff0c;通过matplotlib作图时可能会添加中文标题&#xff0c;但有时候会不显示中文 import numpy as np import matplotlib.pyplot as pltx np.arange(0, 6, 0.1) # 以0.1为单位&#xff0c;成0到6的数据 y1 np.sin(x) y2 np.c…

ubuntu安装多个gcc并设置可切换

测试环境&#xff1a; Ubuntu16.04 1. 查看当前有几个gcc&#xff0c;g ls /usr/bin/gcc* ls /usr/bin/g* 有两个版本&#xff0c;5和7. 2. 安装特定gcc/g 版本 可以用sudo apt install gcc-version安装&#xff0c;比如说我想安装gcc-7&#xff0c;则命令为sudo apt instal…

第5章 数据建模和设计

思维导图 5.1 引言 最常见的6种模式&#xff1a;关系模式、多维模式、面向对象模式、 事实模式、时间序列模式和NoSQL模式 每种模式分为三层模型&#xff1a;概念模型、逻辑模型和物理模型 每种模型都包含一系列组件&#xff1a;如实体、关系、事实、键和属性。 5.1.1 业务驱…

【Flink】窗口实战:TUMBLE、HOP、SESSION

窗口实战&#xff1a;TUMBLE、HOP、SESSION 1.TUMBLE WINDOW1.1 语法1.2 标识函数1.3 模拟用例 2.HOP WINDOW2.1 语法2.2 标识函数2.3 模拟用例 3.SESSION WINDOW3.1 语法3.2 标识函数3.3 模拟用例 4.更多说明 在流式计算中&#xff0c;流通常是无穷无尽的&#xff0c;我们无法…

C++第十弹---类与对象(七)

✨个人主页&#xff1a; 熬夜学编程的小林 &#x1f497;系列专栏&#xff1a; 【C语言详解】 【数据结构详解】【C详解】 目录 1、再谈构造函数 1.1、构造函数体赋值 1.2、初始化列表 1.3、explicit关键字 2、static成员 2.1、概念 2.2、特性 2.3、面试题 总结 1、再…