首頁 > 關(guān)于我們 > 安恒動態(tài) > 2024 > 正文

杭州市軟件行業(yè)協(xié)會會員代表大會召開，安恒信息分享重保之軟件供應(yīng)鏈安全實踐

閱讀量：次 文章來源：安恒信息

為進(jìn)一步推動杭州軟件產(chǎn)業(yè)發(fā)展，培育和引導(dǎo)新生代軟件企業(yè)，共同探討杭州數(shù)字經(jīng)濟(jì)的未來，杭州市軟件行業(yè)協(xié)會2023年會員代表大會暨AI時代軟件企業(yè)發(fā)展論壇于1月28日舉辦，安恒信息首席人才官、高級副總裁、數(shù)字人才創(chuàng)研院院長苗春雨受邀出席并發(fā)表主題演講。

?苗春雨在《重保之軟件供應(yīng)鏈安全實踐》中介紹到，安恒信息作為國家級核心安保單位，擁有一支超過數(shù)百人的國家級網(wǎng)絡(luò)安全保障實戰(zhàn)團(tuán)隊，具備一流的網(wǎng)絡(luò)與信息安全技術(shù)能力和豐富安全攻防經(jīng)驗。安恒信息自2008年北京奧運會起陸續(xù)負(fù)責(zé)新中國成立60周年、上海世博會、廣州亞運會、歷屆世界互聯(lián)網(wǎng)大會、G20峰會、成都亞運會、杭州亞運會等眾多國際級、國家級重大活動、賽事的網(wǎng)絡(luò)安全保障工作，并實現(xiàn)零事故的輝煌戰(zhàn)績。

近年來，隨著軟件供應(yīng)鏈的不斷發(fā)展，其背后的安全風(fēng)險問題越來越得到重視。對此，國家及金融、運營商、教育、電力等各行各業(yè)陸續(xù)發(fā)布關(guān)于軟件供應(yīng)鏈安全的政策規(guī)定，全面為軟件供應(yīng)鏈安全治理與安全保障提供政策指導(dǎo)。

依托前沿科技研發(fā)技術(shù)與豐富實戰(zhàn)經(jīng)驗，安恒信息面向軟件供應(yīng)鏈安全提供完善的解決方案，以合規(guī)為基礎(chǔ)、以安全為追求，持續(xù)保障企業(yè)軟件供應(yīng)鏈安全，并在采購階段、集成開發(fā)、軟件交付、安全運營四個階段都具備管理、服務(wù)、產(chǎn)品相結(jié)合的全面能力。

在2023年，安恒信息圓滿完成了成都大運會、杭州亞運會等國際大型賽事的網(wǎng)絡(luò)安全保障工作，安恒信息軟件供應(yīng)鏈安全歷經(jīng)諸多實戰(zhàn)演練，為“零事故”的輝煌戰(zhàn)績貢獻(xiàn)極大力量?；谥乇崙?zhàn)防護(hù)經(jīng)驗，苗春雨詳細(xì)展開介紹了安恒軟件供應(yīng)鏈安全七大重點能力：

安全開發(fā)一體化平臺

安恒安全開發(fā)一體化平臺，即軟件供應(yīng)鏈安全平臺，是基于Gartner提出的DevSecOps理念，將安全（Security）嵌入DevOps流程中，實現(xiàn)軟件敏捷開發(fā)過程安全性能保障的功能性平臺。其主要功能包括項目管理、資產(chǎn)及第三方組件管理、安全需求分析與設(shè)計平臺、漏洞管理、集成工具以及知識庫。

軟件成分分析

安恒軟件成分分析平臺（SCA），是一款智能組件歷史漏洞檢測、二進(jìn)制0day風(fēng)險分析、開源協(xié)議檢查系統(tǒng)，支持生成SBOM。是安恒信息面向軟件開發(fā)安全需求研發(fā)的基于軟件開發(fā)安全生命周期管理的開源組件檢測系統(tǒng)。支持對源代碼、二進(jìn)制文件及特征文件中的開源組件進(jìn)行靜態(tài)解析，并基于機(jī)器學(xué)習(xí)技術(shù)，模擬開發(fā)過程中包管理的行為，通過算法、策略、模型對項目引用到的組件及漏洞進(jìn)行高效深層分析。

源代碼審計系統(tǒng)

安恒明鑒源代碼安全缺陷檢測系統(tǒng)（SAST），通過系統(tǒng)自動分析軟件的源代碼、二進(jìn)制代碼，理解軟件行為，檢測并發(fā)現(xiàn)代碼缺陷、違反編碼規(guī)范的惡意或違規(guī)行為，解決安全開發(fā)規(guī)范標(biāo)準(zhǔn)化與自動化工具支撐的核心問題。

灰盒動態(tài)測試系統(tǒng)

安恒灰盒交互式安全測試系統(tǒng)（IAST），支持對應(yīng)用的通用安全漏洞、代碼層安全漏洞和開源組件安全漏洞進(jìn)行有效檢測，詳細(xì)展示漏洞形成數(shù)據(jù)流和堆棧信息等，便于定位、驗證、修復(fù)安全漏洞，系統(tǒng)具備漏洞檢測、定位分析、主動驗證、以及第三方開源組件漏洞與許可分析能力。

威脅建模分析系統(tǒng)

安恒威脅建模平臺，根據(jù)實際項目背景、業(yè)務(wù)場景，輸出威脅清單、安全需求清單、安全需求測試用例，解決威脅建模過程復(fù)雜、缺少安全專家、缺少安全測試人員和安全測試用例等問題。

漏洞掃描系統(tǒng)

安恒明鑒漏洞掃描系統(tǒng)（DAS-RAS），融合多年專業(yè)安全行業(yè)在信息安全漏洞挖掘、滲透測試技術(shù)研究和漏洞檢查方法的最佳實踐基礎(chǔ)上，集主機(jī)/網(wǎng)站/應(yīng)用/數(shù)據(jù)安全掃描、弱口令發(fā)現(xiàn)和基線配置核查于一體化，協(xié)助驗證應(yīng)用代碼安全性能、應(yīng)用安全防護(hù)性能和抗破壞能力。

安全服務(wù)

軟件供應(yīng)鏈安全保障是一項體系建設(shè)工程，除系統(tǒng)平臺工具支撐，也需要結(jié)合運營商合規(guī)要求與現(xiàn)狀風(fēng)險，引入不同類型的安全服務(wù)，確保軟件供應(yīng)鏈安全治理的效果可衡量、風(fēng)險可控制、合規(guī)能評估、威脅可處置。

在本次會議中，安恒信息與杭州市軟件協(xié)會、阿里巴巴集團(tuán)、網(wǎng)易集團(tuán)、信雅達(dá)等單位共同探討杭州市軟件行業(yè)最新發(fā)展成果。未來，安恒信息將繼續(xù)為杭州市軟件行業(yè)的發(fā)展注入新的活力，并攜手各方政企單位共同推動杭州市數(shù)字經(jīng)濟(jì)蓬勃發(fā)展，為其注入安全力量。

往期精彩回顧