中网站建设/上海百度推广公司排名
2023年是开展供应链安全,尤其是开源治理如火如荼的一年,开源治理是供应链安全最重要的一个方面,所以我们从开源治理谈起。我们先回顾一下2023的开源治理情况。我们从信通院《2023年中国企业开源治理全景观察》发布的信息。信通院调研了来自七个行业、105家企业的开源软件治理能力,受到供应链安全传导的作用,2023年互联网、软件和信息服务企业均开启了开源治理活动。当然整体而言,本次调研占比较高的是金融、通信、互联网行业,以中大型企业为主。
- 开源软件使用数量大幅增长,10万以上占12%;
- 2021年,25%的企业开源软件使用数量刚刚破万;
- 2022年,仅有3%的企业使用开源软件的数量上十万;
- 2023年,已有12%的企业使用开源软件的数量破十万。
近两年,大多数企业认识到开源软件的风险,逐渐运用工具做开源治理,相比于之前人工维护开源软件,自动化扫描工具准确度更高、颗粒度更细,所以调研结果中的开源软件企业数量整体大幅增长。在金融行业,除了六大国有银行早就深入开展开源治理活动之外,已经影响到股份制银行、农商行、城市银行等。而2023年证券行业也逐渐加入开源治理行列。央企、国企、以及软件测试/安全评测中心也开启了开源治理活动,可以说2023年是开源治理的元年。
这些企事业单位排名前十的开源治理活动,通过下表我们了解一下。
| 2023年中国企业开源治理活动TOP10活动 | |
| 活动出现频率 | 活动描述 |
| 91% | 在面临安全问题时及时评估,并有规划进行软件退出操作 |
| 88% | 通过合同义务确保软件供应商遵循企业的开源软件治理要求 |
| 88% | 在引入开源软件后,对开源漏洞信息进行持续跟踪 |
| 87% | 通过版本升级处理开源组件安全漏洞 |
| 85% | 登记内部所有存量软件 |
| 82% | 定期开展(1年2次及以上)开源相关培训 |
| 82% | 制定企业级/部门级新技术及开源软件管理相关制度和流程 |
| 79% | 建设开源管理平台,辅助管理和统计开源软件信息情况及风险信息处置情况 |
| 77% | 针对系统软件需求编制安装部署规范,使用操作手册等相关配置文档 |
| 75% | 在引入开源软件时,进行软件功能评估以及同类软件对比工作 |
通过上面开展前10的开源治理活动可以看到,根据威胁情报给出的开源组件相关的漏洞,对当前系统中已运用的开源组件进行分析,并采取响应的替换、清退操作仍然是主要采取的活动。例如Log4j组件,这些活动更多的针对存量系统开展的活动。而企事业单位更多是对正在规划建设的IT系统进行开源治理活动,例如通过私服仓库的建立、软件成分分析工具的引入、开源治理管理体系的建设等全面开展活动,才能最大程度上规避开源风险。
开源治理活动中,到底谁对开源软件的安全负责呢?信通院的调研中没有给出明确的定论,看以下的统计数据。
25%的企业:谁先引入谁负责;
25%的企业:按部门职责进行划分;
28%的企业:谁使用谁负责;
22%的企业:由技术委员会评估确定。
这说明不同企业对开源软件谁来负责并没有达成共识,可能参与调研的人所处的岗位也决定了调研结果存在差异性。
其实我们所说的开源软件包括了两大类,其中一类是指开源基础软件,例如:开源操作系统(例如Linux、Android等)、开源数据库(例如MongoDB、Azure RTOS等)、开源编译器(例如GCC、Clang等)、开源中间件(例如Tomcat、Redis等)等。另一类是开源组件,是以源代码形式发布的软件。例如Log4j、Shiro等。其实开源组件的数量远远高于开源基础软件。这两类开源软件在开源治理过程中,应该还是有很多不同的处理方式的。
引入开源软件后,企业会对哪些系统进行持续跟踪呢?
调研结果是开源漏洞信息跟踪为88%、版本跟踪为60%、开源许可证跟踪为58%、社区基本情况的跟踪为41%。这些调研结果仅仅是参与调研者对于开源治理大相关活动的一个认识。企业从引入开源软件、检测、评估、维护、更新、清退开源软件,是一个相对复杂的过程。这里面牵涉到很多技术和管理上的事情。例如对于开源软件引入来说,开源基础软件于开源组件的来源不同,开源基础软件大家往往通过其官方网站进行下载,而开源组件大家往往去中央仓库(例如maven中央仓库)去拉取。还要分是企业自己开发团队引入开源软件,还是由于采购供应商的软件而引入的;对于很多企业,都是在相对封闭的内网进行开发,但是又不得不使用在互联网上中央仓库中开源组件,需要什么样的流程和制度才能既不影响生产又要保证引入开源组件的安全呢?等等这些问题都需要在开源治理活动中不得不考虑的。
另外,部分企业要求做到开源软件收敛,归一化,如何做呢?这种需求一般是架构部门提出来,有些企业把开源软件选型的责任落到架构团队,而架构团队就需要考虑如何减少引入开源软件的数量,对引入开源软件方法建立模型,这也是一个具有挑战性的工作,希望在2024年有企业能够给出一些研究成果。
企业处理开源组件漏洞的方式?
87%企业采用版本升级方式、72%企业采用手动方式下载应用补丁、77%企业则采用替换组件或者删除该组件、而还有10%企业采用不处理方式。这一组调研答案应该是多选题,很多企业勾选了多个开源组件漏洞处理方式。对于不同开源组件漏洞可采用不同的处理方式。的确对一些开源组件无法进行修复,因为由于某些开源组件只能适配某些框架、编译器版本以及依赖特定版本的组件,如果对该组件进行升级或替换,则框架也需要对应升级,编译器版本也需要升级、一些依赖的组件也需要升级,这些升级会带来复杂的、大量的工作,采用不处理方式是相对比较稳妥的处理方式。
对内部所有存量开源软件的管理,大多数企业是如何处理的呢?
调研结果显示,超过70%的企业,仅在新增的安全事件、生态变化等外部因素触发时针对存量开源软件进行非周期检查;仅有20%的企业会对存量开源软件的安全合规性与依赖情况进行周期性分析检查;10%的企业不针对存量开源软件进行检查。
这个调研结果出乎作者的意外。是什么原因让这些参与调研的企业不对存量系统进行开源治理呢?很多企业存在已上线运营的系统,如果有系统运行在互联网上面,则会存在很大风险,因为恶意者可以时刻利用开源组件漏洞来攻击我们这些系统,如果其中有高传染性的开源组件,则很容易被探测到,作为司法证据。
另一项问题调研显示,超过50%的企业缺乏软件成分分析(SCA)工具,且尚未建立SBOM(软件物料清单)的生成与管理机制。这的确反映了当前开源治理中一个重要内容,采购一款SCA工具对于开源治理还是一个必要选项,还好国内SCA工具厂商提供了企业可选的多种产品。
下面我们看看不同行业对开源治理各项指标的关注度。
通信行业:软硬协同、供应链复杂,更关注第三方软件管理
金融行业:在严格的监管法规要求下,重视风险管理(如引入管理、扫描工具、SBOM、SCA等)、软件测评和退出、安全漏洞管理和持续监控等,且规模越大的金融企业期望达到的开源治理能力成熟度越高
金融行业非常重视开源软件带来的风险,在国内也是最早一批做开源治理的企业。在开源治理中,往往是引入供应商的SCA产品,同时引入咨询团队,帮助银行做开源治理管理体系,SCA工具整合到现有的开发流程中,同时考虑对存量系统建立台账等工作。
汽车行业:行业整体生产流程高度规范化、重视功能安全和信息安全,因此更关注开源治理的管理制度(对开源软件的审查、评估、是否合规)、开发测试(以确保软件质量和安全性)
能源行业:涉及大量系统和设备、对供应商和合作伙伴要求更高,更关注第三方软件管理和运维管理
传统制造业:应用较少,对开源软件治理能力的关注度整体偏低
汽车行业,尤其是新兴电动汽车厂商,软件在整个汽车制造中,规模和比重越来越大,通常有几亿行代码,尤其是车载软件,对于汽车驾驶的安全性至关重要。加上出海受到海外监管的需要,对于质量安全和信息安全都非常重视。整车厂软件规模会更大,而且会引入大量的设备供应商和相应的软件,这些软件的安全也需要关注。
软件和信息服务行业:由于核心业务是软件开发和交付,积累了大量的软件资产和技术栈,同时面临海内外更加严格的政策,更注重存量软件管理、组织机制、软件测评和开发测试等方面的实践活动。
互联网行业:由于业务规模和复杂度高,开源软件使用量庞大,但在开源软件治理方面投入相对较少,更多的关注点可能集中在如何使用开源软件快速交付、业务迭代。
对于软件企业和互联网企业,尤其是一些行业头部企业,受到供应链安全传导影响,在近两年也逐渐重视供应链安全。但是互联网企业和软件企业的特点,他们更愿意直接采购一款SCA工具,自行组织建设一部分开源治理规范流程。不像金融行业建立比较完善的开源治理体系。
回顾了2023年,我们再来展望一下2024年,供应链安全仍然是国内企业关注和建设的重点,而且会继续下沉和延伸。在当前世界形势下,由于广义的网络安全是由于各个领域的信息安全组成的,而信息安全又是由软硬件和网络设备安全构成的,包括操作系统安全、中间件安全、交换机安全、编译器安全等等。现在我们面临的安全是整个供应链的安全,除了关注自身软件研发过程中的安全,更多的是关注由于供应链安全带给企业自身的风险。下面我们一起展望一下2024年供应链安全的趋势。
- 供应链安全继续向下传导,受到供应链关系影响,相关的上下游企业会更关注供应链安全;
- 信创环境下,国产服务器、操作系统、数据库、中间件等更加关注供应链安全;
- 在汽车制造企业,安全向底层的基础支撑软件延伸,而由于出海原因,又要关注国际上的安全相关的法律法规;
- 在军工科研院所,在供应链安全方面,考虑的会更多,开始注重IDE、编译工具链方面的安全;
- 在整个经济环境形势下,还是国企、央企、大型科技企业和互联网企业、汽车生产制造企业等仍然是更关注供应链安全,但是民营企业开始关注供应链安全。
在供应链安全相关的技术和工具方面,具有下列发展趋势。
- 需要厂商在技术上有更多的突破,更成熟的工具满足企业对于更高自动化的要求;
- 工具具有与其它系统快速集成能力,要求接口丰富且能适配各种Devops工具厂商;
- 集成到DevSecOps平台的工具,能够有更多的控制能力、数据度量能力,除了大厂能够在引擎提供数据的基础上进行分析和处理之外,技术和资源相对较弱的企业更希望工具本身能够提供更多的数据分析功能和控制功能;
- 在SAST、SCA工具继续在企业运用之后,更多的企业会关注IAST、Fuzzing test以及二进制分析;
- 检测工具更适配标准,做到可据可依。CNAS对应的代码审计标准GB/T 34943、34944、34946。行业标准例如GJB、PCI DSS、MISRA、AUTOSAR等等。
- 另外,对于金融企业头部银行,开始把安全左移做到极致,在借助于自动化威胁建模,把安全需求与自动化工具覆盖需求结合起来,真正实现闭环管理。
(结束)
相关文章:
展望2024年供应链安全
2023年是开展供应链安全,尤其是开源治理如火如荼的一年,开源治理是供应链安全最重要的一个方面,所以我们从开源治理谈起。我们先回顾一下2023的开源治理情况。我们从信通院《2023年中国企业开源治理全景观察》发布的信息。信通院调研了来自七…...
React 列表页实现
一、介绍 列表页是常用的功能,从后端获取列表数据,刷新到页面上。开发列表页需要考虑以下技术要点:1.如何翻页;2.如何进行内容搜索;3.何时进行页面刷新。 二、使用教程 1.user-service 根据用户id获取用户列表,返回…...
【程序人生】还记得当初自己为什么选择计算机?
✏️ 初识计算机: 还记得人生中第一次接触计算机编程是在高中,第一门编程语言是Python(很可惜由于条件限制的原因,当时没能坚持学下去......现在想来有点后悔,没能坚持,唉......)。但是…...
9-tornado-Template优化方法、个人信息案例、tornado中ORM的使用(peewee的使用、peewee_async)、WTForms的使用
在很多情况下,前端模板中在很多页面有都重复的内容可以使用,比如页头、页尾、甚至中间的内容都有可能重复。这时,为了提高开发效率,我们就可以考虑在共同的部分提取出来, 主要方法有如下: 1. 模板继承 2. U…...
IDEA中.java .class .jar的含义与联系
当使用IntelliJ IDEA这样的集成开发环境进行Java编程时,通常涉及.java源代码文件、.class编译后的字节码文件以及.jar可执行的Java存档文件。 1. .java 文件: 1.这些文件包含了Java源代码,以文本形式编写。它们通常位于项目中的源代码目录中…...
北斗三号短报文森林消防应急通信及天通野外图传综合方案
森林火灾突发性强、破坏性大、危险性高,是全球发生最频繁、处置最困难、危害最严重的自然灾害之一,是生态文明建设成果和森林资源安全的最大威胁,甚至可能引发生态灾难和社会危机。我国总体上是一个缺林少绿、生态脆弱的国家,是一…...
js Array.every()的使用
2023.12.13今天我学习了如何使用Array.every()的使用,这个方法是用于检测数组中所有存在的元素。 比如我们需要判断这个数组里面的全部元素是否都包含张三,可以这样写: let demo [{id: 1, name: 张三}, {id: 2, name: 张三五}, {id: 3, name…...
前端编码中快速填充内容--乱数假文
写前端页面的时候,如果要快速插入图片,可以使用 https://picsum.photos/ 详见笔者这篇博文: 工具网站:随机生成图片的网站-CSDN博客 可是,如果要快速填充文字内容该怎么做呢? 以前,我们都是…...
数据结构二维数组计算题,以行为主?以列为主?
1.假设以行序为主序存储二维数组Aarray[1..100,1..100],设每个数据元素占2个存储单元,基地址为10,则LOC[5,5]( )。 A.808 B.818 C.1010 D&…...
springboot(ssm电影院订票信息管理系统 影院购票系统Java系统
springboot(ssm电影院订票信息管理系统 影院购票系统Java系统 开发语言:Java 框架:ssm/springboot vue JDK版本:JDK1.8(或11) 服务器:tomcat 数据库:mysql 5.7(或8.0࿰…...
AI 问答-供应链管理-相关概念:SCM、SRM、MDM、DMS、ERP、OBS、CRM、WMS...
一、供应链管理是什么 供应链管理:理解供应链管理_snowli的博客-CSDN博客 二、SCM 供应链管理 SCM全称为“Supply Chain Management”,即供应链管理。 SCM是企业管理范畴中一个非常重要的概念,指的是企业与供应商、生产商、分销商等各方之…...
初学vue3与ts:vue3选项式api获取当前路由地址
vue2的获取方法 this.$route.pathvue3选项式api获取方法 import { useRouter } from vue-router; const router useRouter(); console.log(router) console.log(router.currentRoute.value.path)...
2023最新大模型实验室解决方案
人工智能是引领未来的新兴战略性技术,是驱动新一轮科技革命和产业变革的重要力量。近年来,人工智能相关技术持续演进,产业化和商业化进程不断提速,正在加快与千行百业深度融合。 大模型实验室架构图 大模型实验室建设内容 一、课…...
leetcode707.设计链表
题目描述 你可以选择使用单链表或者双链表,设计并实现自己的链表。 单链表中的节点应该具备两个属性:val 和 next 。val 是当前节点的值,next 是指向下一个节点的指针/引用。 如果是双向链表,则还需要属性 prev 以指示链表中的…...
【K8s】Kubernetes CRD 介绍(控制器)
文章目录 CRD 概述1. 操作CRD1.1 创建 CRD1.2 操作 CRD 2. 其他笔记2.1 Kubectl 发现机制2.2 校验 CR2.3 简称和属性 3. 架构设计3.1 控制器概览 参考 CRD 概述 CR(Custom Resource)其实就是在 Kubernetes 中定义一个自己的资源类型,是一个具…...
Python 小程序之PDF文档加解密
PDF文档的加密和解密 文章目录 PDF文档的加密和解密前言一、总体构思二、使用到的库三、PDF文档的加密1.用户输入模块2.打开并读取文档数据3.遍历保存数据到新文档4.新文档进行加密5.新文档命名生成路径6.保存新加密的文档 四、PDF文档的解密1.用户输入模块2.前提准备2.文件解密…...
使用python脚本一个简单的搭建ansible集群
1.环境说明: 角色主机名ip地址控制主机server192.168.174.150受控主机/被管节点client1192.168.174.151受控主机/被管节点client2192.168.174.152 2.安装python和pip包 yum install -y epel-release yum install -y python python-pip 3.pip安装依赖库 pip in…...
【价值几十万的仿抖音直播电商系统源码共享】
当下,传统的图文电商模式已经走向没落,以抖音为首的直播电商模式备受用户追捧,它具有实时直播和强互动的特点,是传统电商所不具备的优势。而且,当前正是直播电商的红利期,很多主播和品牌商都通过直播电商业…...
对于vue3项目中使用shareReward还是shareReward.value的问题
问: // 设置当前有没有分享过 默认是false const shareReward ref(false) // 是否是第一次分享 来判断是否发放抽奖次数 function haveShare() { console.log(进入haveshare) if (userInfo.uid && shareReward.value) { rewardTimes(2).then((res) &…...
利用websockify将websocket通信转换成tcp
文章目录 前言websockifywebsockify 介绍websockify 使用 探索的过程提供基础TCP服务测试可用 实现Websocket客户端开始测试websockify功能再次启动websockify单独实现一个js版本websocket客户端 什么是VNC总结 前言 目前遇到一个问题,原本的服务都是利用tcp通信的…...
【LeetCode刷题】-- 163.缺失的区间
163.缺失的区间 class Solution {public List<List<Integer>> findMissingRanges(int[] nums, int lower, int upper) {List<List<Integer>> res new ArrayList<>();for(int num : nums){if(lower < num){res.add(Arrays.asList(lower,num -…...
ClickHouse为何如此之快
针对ClickHouse为什么很快的问题,基于对ClickHouse的基础概念之上,一般会回答是因为是列式存储数据库,同时也会说是使用了向量化引擎,所以快。上面两方面的解释也都能够站得住脚,但是依然不能够解释真正核心的原因。因…...
Avalonia中如何将View事件映射到ViewModel层
前言 前面的文章里面我们有介绍在Wpf中如何在View层将事件映射到ViewModel层的文章,传送门,既然WPF和Avalonia是两套不同的前端框架,那么WPF里面实现模式肯定在这边就用不了,本篇我们将分享一下如何在Avalonia前端框架下面将事件映射到ViewModel层。本章内容还是在上一节的…...
(第42天)DataGuard 搭建之使用 Duplicate 复制
环境准备 本文讲解 Oracle 19C 环境通过 Duplicate 在线复制搭建单机 Active DataGuard 的完整步骤,以下为测试环境信息: 角色主机名IP地址数据库版本实例名DB名DB_UNIQUE名services名TNS名sys密码主lucifer10.211.55.20019CoradboradboradboradbORADB_PRIoracle备luciferdg…...
LeetCode 0070. 爬楼梯:动态规划(递推)
【LetMeFly】70.爬楼梯:动态规划(递推) 力扣题目链接:https://leetcode.cn/problems/climbing-stairs/ 假设你正在爬楼梯。需要 n 阶你才能到达楼顶。 每次你可以爬 1 或 2 个台阶。你有多少种不同的方法可以爬到楼顶呢&#x…...
XMemcached network layout exception java.nio.channels.ClosedChannelException
java.nio.channels.ClosedChannelException 表示尝试在已关闭的通道上进行 I/O 操作,通常发生在网络连接意外关闭后尝试在关闭的通道上执行读取或写入操作。 XMemcached network layout exception 可能是由于 XMemcached 客户端在尝试与 Memcached 服务器通信时发生…...
记录 | vscode pyhton c++调试launch.json配置
下面提供 vscode 中 python 和 c 调试配置的 launch.json (好用,已用好几年,建议收藏) {// 使用 IntelliSense 了解相关属性。 // 悬停以查看现有属性的描述。// 欲了解更多信息,请访问: https://go.microsoft.com/fwlink/?linkid830387&qu…...
Java入门基础:浅显易懂 死循环
文章目录 一、什么是死循环二、以fo循环示例三、如何避免死循环 一、什么是死循环 死循环就是循环语句的 循环布尔表达式 一直为true,没有终止循环的条件或者终止循环的条件根本不可能达成 二、以fo循环示例 /** 终止循环的条件根本不可能达成* 循环布尔表达式&a…...
LeetCode刷题--- 验证二叉搜索树
个人主页:元清加油_【C】,【C语言】,【数据结构与算法】-CSDN博客 http://t.csdnimg.cn/ZxuNL个人专栏:力扣递归算法题 http://t.csdnimg.cn/ZxuNL 【C】 http://t.csdnimg.cn/c9twt 前言:这个专栏主要讲述递归递归、搜索与回溯算法&#x…...
go-zero 开发入门-加法客服端示例
定义 RPC 接口文件 接口文件 add.proto 的内容如下: syntax "proto3"; package add;// 当 protoc-gen-go 版本大于 1.4.0 时需加上 go_package,否则编译报错“unable to determine Go import path for” option go_package "./add&qu…...