默安科技副总裁沈锡镛：数字防线 原生构建|2022首届全球数字贸易博览会

默安科技副总裁沈锡镛在2022首届全球数字贸易博览会发表《数字防线 原生构建》主题演讲

在2022年12月11日至14日于杭州国际博览中心举办的2022首届全球数字贸易博览会上，默安科技董事、副总裁沈锡镛就《数字防线 原生构建》发表了主题演讲。本次博览会聚焦“数字贸易 商通全球”主题，旨在打造数字贸易产业发展风向标。以下是沈锡镛演讲的主要内容：

一、数字化面临的安全挑战

沈锡镛首先指出了数字化业务所面临的主要风险：数据安全与业务中断。

• 数据安全：他举例说明了某一直辖市日活百万级的应用中，开发商真正自己写的代码仅占5%。随着数字化业务的转型和多场景应用的开发，软件开发商大量引用开源组件和功能，导致开源组件的漏洞一旦被黑客利用，将直接引发数据泄露问题。
• 业务中断：他引用了俄罗斯和乌克兰战争中的软件供应链攻击案例，指出美国不允许俄罗斯的开发者下载GitHub上的公共库，进而导致了俄罗斯许多业务应用的中断。这类攻击具有很强的隐秘性或“隔山打牛”的特点，对数字化业务构成严重威胁。

二、软件供应链的构成环节

沈锡镛对比了传统供应链与软件供应链的区别，并强调了软件供应链中开发安全的重要性。

• 传统供应链：涉及商品从原始采购到最终用户使用的整体网链结构。
• 软件供应链：指软件从供应商到达用户并被使用的整个过程，包括软件开发、编码、生成、分发到用户使用的整个生命周期。

他指出，在软件供应链的构成环节中，开发安全往往被忽视，软件供应商在接到数字化业务需求时，往往倾向于直接抄袭、修改现有代码或外包，这种做法带来了很多安全隐患。

三、软件供应链安全保护依据

沈锡镛阐述了软件供应链安全得到广泛关注的原因，并对比了等保2.0与《信息安全技术关键信息基础设施安全保护要求》对软件供应链安全保护的要求。

• 原因：数字化转型趋势下，软件架构复杂性增加，外部引入成分占比增加，供应链中断风险增加；软件供应链攻击的投入产出比较高，软件开发商的网络安全防护和开发安全能力普遍较弱。
• 要求：在供应商选择时防范非技术因素导致的产品和服务供应中断风险；验收时应对软件进行源代码层面的安全检测；关基单位应要求产品和服务提供者对设计、研发、生产、交付等关键环节加强安全管理。

四、软件供应链安全保护环节

沈锡镛详细介绍了软件供应链安全保护涉及的三个主要环节：供应链引入、软件生产和软件应用。

• 供应链引入环节：存在基础服务风险、软件代码风险、开源组件风险和三方服务未知风险，面临的核心安全问题是供应链准入和供应链透明。
• 软件生产环节：存在开源组件风险、自研代码安全质量风险和三方服务未知风险，面临的核心安全问题是供应链投毒和软件生产安全。
• 软件应用环节：存在软件部署风险、运行期间风险，面临的核心安全问题是供应链安全事件响应。

五、软件供应链安全的核心关注与保护框架

沈锡镛总结了软件供应链安全的核心关注点和保护框架。

• 核心关注点：软件安全要求规范与传递、软件资产底账不清、开源软件准入管控、开源软件漏洞和协议风险不可控、防范软件供应链投毒、源代码泄露问题、多种开发模式下的应用漏洞和后门检测、0day组件漏洞的应急响应等。
• 保护框架：包括软件供应链入口安全管控和软件供应链自身安全管控。入口安全管控涉及软件来源、软件安全合规、软件资产管理、服务支持和安全应急响应；自身安全管控贯穿开发生命周期安全，涉及需求分析、架构设计、软件开发、软件测试和系统上线五个阶段。

六、默安科技的软件供应链安全治理方案

沈锡镛结合案例实践分享了默安在软件供应链安全的治理方案。

• 某政府机构案例：针对该行业大量引入外部软件供应商的特点，默安提供了软件供应链安全的检测方案，包括评估标准的制定和技术服务的落地。
• 某数字化转型单位案例：针对该单位既有外部软件引入又有内部研发的特点，默安从软件供应链安全管理和软件开发安全两个方面入手，对软件供应链风险进行一站式摸排。
• 某大型集团案例：针对该客户业务部署层级多的特点，默安建立了一、二级供应链资产管理机制，形成集团全量业务统一供应链安全风险图谱，并通过自动化完成漏洞影响面分析及漏洞可利用验证，将紧急漏洞应急响应时间从1周缩短至1天。

作为国内率先推出完整开发安全工具链、平台与服务的创新型安全厂商，默安科技在软件供应链安全方面具有深厚的技术积累与项目建设经验。未来，默安科技将继续深耕优势领域，为全球数字贸易产业的创新与高质量发展贡献更多安全力量。