如何保障软件供应链安全?
文摘
科学
2024-09-20 08:34
北京
近年来,软件供应链安全事件频发,2024年7月份的微软“蓝屏”事件进一步凸显了软件供应链安全的重要性。软件供应链源头难以掌握、开源软件引入的安全风险及软件供应链安全管控制度和措施的不完善已成为软件供应链安全面临的主要挑战。1.构建软件物料清单,有效识别软件供应链风险。需要引导行业用户和信息技术企业构建软件物料清单(SBOM),建立软件全生命周期的供应链管理。同时,可通过厂商自评估与专业技术机构评估相结合的方式,定期开展软件供应链安全风险评估工作。2.建设软件供应链安全公共服务平台,反馈共享软件供应链情报。应积极推动运营者、软件供应商、网络安全服务机构等协同建设软件供应链安全公共服务平台,持续提升供应链安全威胁情报搜集能力,为软件供应链保障提供告警服务和处置技术支撑。3.建立常态化应急响应机制,从容应对软件供应链威胁。面向操作系统、数据库等重点领域,应深入开展风险研判,积极做好应对预案。此外,定期组织开展应急演练,保障突发情况下关键信息系统运行不受影响。4.加快提升核心技术水平,从源头掌控软件供应链。努力加快核心技术攻关,尽快完善软件开发生态建设,力争引领更多技术方向,提高话语权和影响力。【摘编自《保密科学技术》2024年2月刊《软件供应链安全能力模型研究》一文,作者: 翟艳芬、袁薇、王郁】