首页 > 其他分享 >软件供应链安全管理实践之中国联通

软件供应链安全管理实践之中国联通

时间:2024-09-24 16:53:20浏览次数:9  
标签:分析 检测 中国联通 安全 供应链 组件 软件

软件供应链安全管理是保护软件开发和交付过程中所有组件的安全性和完整性的重要环节,软件供应链安全国家标准及政策的发布,为企业软件供应链安全管理提供了依据。

本文摘选自软件供应链安全推进工作组指导、苏州棱镜七彩信息科技有限公司主笔的《2023软件供应链安全研究报告》中第八章《保障软件供应链安全能力评估及安全管理实践》旨在展示中国联通在相关制度下进行的软件供应链安全管理实践。

01软件供应链基本情况

中国联通数字化研发平台立足于软件研发的全生命周期管理,对软件供应链安全的组件识别、组件依赖、软件缺陷分析、风险情报感知与预警、软件动态检测与防御、安全编码等多方面进行研究与应用,构建涵盖信创的多场景软件供应链安全分析与检测集成测试平台,保障数字关键基础设施安全稳定。

02软件供应链安全建设成果

1) 实现安全研发运营一体化全周期管控

以AI攻防技术为产品驱动,全面具备SCA各项核心检测技术,并支持无感接入DevOps流程,从安全需求到运行监控、管理等多维度闭环治理威胁。结合行业敏捷安全落地实践经验和软件供应链安全研究成果,形成独特的软件供应链安全管理体系。


软件供应链安全管理实践之中国联通_供应链管理实践

图1 软件供应链安全管理体系

已完成源码治理功能,组件分析与漏洞检测功能,与外采的AI知识库完成了对接,初步形成了将安全检测能力左移到软件开发生命周期的需求设计阶段。

从需求设计阶段产品人员利用AI安全知识库,通过情景问答的形式自动生成安全需求,安全知识库与数字化研发平台对接,依据生成的安全需求自动生成安全任务,指派给具体的研发负责人。

平台提供源码治理、组件分析与漏洞检测能力并将两大大基础能力与数字化研发平台的流水线、代码库进行对接,实现安全能力左移至编码阶段,针对符合质量阀要求的代码才允许上传至代码库,实现了安全管控从源头抓起。

2) 构建软件组件分析与漏洞检测机制

面对软件供应链组件分析与组件依赖不清晰问题,DevSecOps内生安全体系提供组件分析于漏洞检测能力,能够进行软件供应链关系图谱分析、软件组件分析、软件关联分析,自动化智能识别软件供应链中各种组件的逻辑关系和组织结构,快速生成组件之间的关系图谱;并能进行漏洞识别与分析漏洞影响范围,提供详细的漏洞修复建议。

03软件供应链安全建设成效

AI知识库提供模型学习,类语言交互,提供自动分析、自主决策能力;需求威胁识别、量化、解决端到端覆盖填补需求安全性分析预防空白。

纳管代码2.2万个仓库、52亿行代码,代码检测覆盖率达90%、组件成分分析超11.7万,19万依赖包100%通过流水线门禁检查。

标签:分析,检测,中国联通,安全,供应链,组件,软件
From: https://blog.51cto.com/u_15925793/12100915

相关文章

  • 开发一个当下火热的软件:AI无人直播工具!
    AI无人直播工具作为直播行业的创新力作,正逐渐受到广大用户和企业的青睐,这款工具不仅打破了传统直播对于人力和时间的依赖,更以其智能化、高效化的特点,为直播行业带来了全新的变革。下面,我将为大家分享六段与AI无人直播工具相关的源代码片段,让我们一同探索这款神奇工具的技术奥......
  • 敢与Everything媲美的软件,已完美授权!
    说到电脑文件搜索软件,很多人第一个人想到的是Everything,这款秒搜软件可以快速查找出电脑里的文件或者文件夹,非常好用实用。不过文件搜索软件我用得最多的不是Everyting,而是今天推荐的这款文件搜索利器——Listary!软件:Listary6.3 语言:简体中文大小:13安装环境:Win7及以上操作......
  • CNAS软件测试实验室能力验证全流程介绍
    能力验证是多个实验室间比对来确定实验室检测能力的活动,是维持实验室较高技术水平的一种确认和验证活动。CNAS软件检测实验室初次认可和扩大认可范围时,申请认可的每个子领域应至少参加过一次相关领域的能力验证且获得满意结果。通过认定认可后,只要存在可获得的能力验证,不同类目......
  • COMTRADE 录波文件 | 可视化工具 | 电能质量查看软件
    COMTRADE录波文件|可视化工具|电能质量查看软件主要功能介绍支持IEEEStdC37.111-1991/1999/2013规范。读取ASCII或二进制COMTRADE文件。查看来自COMTRADE配置文件的模拟和数字通道列表。将图表导出为SVG、BMP、JPEG和PNG图形格式。将显示的观察结果以CSV文件......
  • 对软件工程的理解
      软件工程是指导计算机软件开发和维护的一门工程学科,它采用工程的概念、原理、技术和方法来确保软件的高质量和有效维护。通过学习,我对软件工程有了更深入的理解,主要体现在以下几个方面:1.软件工程的必要性  软件工程的出现是为了解决软件开发和维护过程中遇到的一系列严重......
  • 同声传译用什么软件?盘点一些日本秋天旅游的必备好物
    深秋佳节到,有没有和小编一样,想要避开人群,前往日本独享小众红枫秘境的朋友啊?先给大家看看,小编搜刮来的,2024年日本红叶季的最佳赏枫指南吧!什么?不会日语不敢出国游玩,不知道同声传译哪个软件好?怕被薅羊毛?这算啥困难啊!马上给大家分享小编出国游玩时,常常用到的4款同声传译日......
  • 中国联通国际(联通云)-绿色低碳,共筑可持续发展未来
    在数字化浪潮席卷全球的今天,数据的安全与智能应用的无限潜力成为了企业转型与创新的关键驱动力。中国联通国际有限公司,凭借其强大的全球网络资源和深厚的技术积累,隆重推出旗下云服务品牌——联通云,旨在为全球数百万企业和开发者打造一个安全可靠、云网一体、数智相融、专属定制、......
  • 2024年软件设计师考试大纲
    一、软件设计师软件设计师,属于计算机技术与软件(中级)专业技术资格。二、考试说明(一)考试目标通过本考试的合格人员能根据软件开发项日管理和软件工程的要求,按照系统总体设计规格说明书进行软件设计,编写程序设计规格说明书等相应的文档,组织和指导程序员编写、调试程序,并对软件进行优化......
  • 【软件文档】项目质量保证计划书(Word原件)
    1概述2质量目标3项目基本情况4资源4.1人员4.1.1组织结构4.1.2职责4.2工具及设施5质量保证的主要工作6质量保证工作量估算7质量保证工作提交的产物8变更管理9评价标准10形成的记录软件全套资料部分文档清单:工作安排任务书,可行性分析报告,立项申......
  • 如何使用Kimi编写软件设计文档
    在软件开发过程中,设计文档是不可或缺的一环,它帮助团队成员理解系统架构、业务流程和用例。Kimi作为一个强大的AI助手,可以在这个过程中发挥重要作用。本文将介绍如何使用Kimi来编写软件设计文档,包括流程图和用例图的制作,并通过一个订单管理的实例来演示其应用。为什么选择Kimi......