2022年8月1日,由悬镜安全、ISC、中国电信研究院共同编撰的《软件供应链安全治理与运营白皮书(2022)》于ISC互联网安全大会悬镜出品的“软件供应链安全治理与运营论坛”上正式发布。白皮书重点梳理了软件供应链安全现状和面临的挑战,阐述了软件供应链安全治理体系和开源威胁治理方案,旨在帮助读者加强软件供应链安全意识,丰富治理思路。
图1 《软件供应链安全治理与运营白皮书(2022)》正式发布
Gartner分析指出,“到2025年,全球45%组织的软件供应链将遭受攻击,比2021年增加了三倍。”可见,软件供应链的安全威胁将越来越严重。近年来,软件供应链攻击事件越来越多,如何进行此类威胁治理是众多企业关注的重心。毕竟网络安全关乎着企业是否正常运转,是国民经济能否正常运行的重要前提,而软件供应链安全作为网络安全的重要组成部分,是实现网络安全的重要前提。
本白皮书在第一章介绍了软件供应链安全的发展背景,从政策法规驱动和行业标准规范等维度,对软件供应链的重要性进行了详述;在软件供应链安全现状章节详述了近年以来的软件供应链安全相关事件,迄今为止算是比较详细地将此类事件做了总结,并针对三个典型事件进行了剖析,通过系统性整理、分析和研究,归纳总结了软件供应链风险的8项典型特征;同时延展了软件供应链安全的风险。相较以往,对诸多内容都做了更充分的说明。详细内容可自行查阅。
图2 《软件供应链安全治理与运营白皮书(2022)》目录
软件供应链安全治理体系
报告详述了软件供应链安全治理的常用框架,此外还构建了一套较为全面系统的软件供应链安全治理体系,借助安全自动化工具,实现对软件供应链全链路的安全风险治理。
图3 软件供应链安全治理体系
开源威胁治理
Perforce的Open Source Initiative(OSI)和OpenLogic联手开展了一项关于开源软件状态的全球调查,数据显示,在过去12个月中,77%的受访者在其组织中增加了对开源软件的使用,36.5%的受访者表示他们的使用量显著增加。
也有数据显示,有90%的组织都依赖于开源软件,而且开源软件也经常被嵌入到其他开源项目中。但是,尽管开源为企业的创新和快速发展提供了源动力,但与之而来的还有安全风险问题,为攻击者提供了潜在的安全威胁入口点。
白皮书描述了开源软件安全风险、开源威胁治理技术、开源威胁治理前提、开源威胁治理阶段等内容,也从开源的SCA工具和商业化的SCA工具两个维度为读者介绍了代表性的SCA工具,让读者对各工具有更深入的了解,还包含以下开源SCA工具对比表,更详细的对比项请查看白皮书。
图4 开源SCA工具对比
不管是国内还是国外的应用安全厂商,都有自己成熟的AST工具链、甚至还有平台和服务体系,也衍生了更丰富的工具布局和规划设计,以适应云原生、物联网、产业互联网等不同应用场景的需求。在开源治理中,企业应该选择具有怎样能力的商业化SCA工具,白皮书也做了详细介绍。
最后
科技的发展让社会协作变得更加高频和具有深度,在信息技术行业亦是如此。我们自己的业务系统会集成第三方的代码、使用第三方提供的开发环境、应用第三方生产的构建工具、运行在第三方开发的微服务和容器之上,这种深度协作方式让我们的业务生产和运营效率指数级提升,但同时带来的,也有软件供应链风险史无前例的增长。
SolarWinds Orion事件让人们见识了供应链攻击能做到什么,Apache Log4j2漏洞让人们了解了开源代码的千疮百孔,Equifax信息泄露事件让人们知道了大型企业的安全建设在软件供应链安全漏洞前是多么的脆弱不堪。这一切,促成了我们对本报告的编撰工作,我们希望用系统性的思维和方式,收集、分析、整理、阐述软件供应链安全治理与运营的方方面面。由于篇幅所限,本文提及的工具、方法和措施只是软件供应链安全领域的沧海一粟,更多的还需要读者在实践中探寻。
如何获取报告?
关注悬镜安全服务号,后台回复关键词:软件供应链报告,即可下载
关于悬镜安全
悬镜安全,DevSecOps敏捷安全领导者。起源于北京大学网络安全技术研究团队“XMIRROR”,创始人子芽。悬镜专注于以代码疫苗技术为内核,通过原创专利级”全流程软件供应链安全赋能平台+敏捷安全工具链”的第三代DevSecOps智适应威胁管理体系,持续帮助金融、车联网、泛互联网、能源等行业用户构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。更多信息请访问悬镜安全官网:www.xmirror.cn
关于ISC
互联网安全大会(简称ISC),作为亚太地区乃至当今世界规格高、辐射广、影响力深远的全球性安全峰会,互联网安全大会已连续举办九年,被誉为中国网络安全产业名片、全球网络安全行业风向标。大会举办九年来,大会已围绕网络空间治理、数据安全、威胁情报、物联网安全等前沿领域安全问题,举办20余场国际峰会,设立超300场分论坛,输出超2000个行业前沿议题。吸引来自中国、美国、俄罗斯、以色列、德国等全球30多个国家的2000余位政要、行业领袖、网络安全专家深度参与,共话全球网络安全生态。
关于中国电信研究院
中国电信股份有限公司研究院以机制创新、技术创新和管理创新为手段,坚持人才至上、以人为本原则,实施人性化管理,力争短期内在电信运营领域成为国际上比较知名、国内有重要影响力的研发机构。主要研究电信技术发展趋势与战略,研究技术发展政策,研究网络、技术与业务发展规划,研究技术体制和标准,负责新技术和新设备入网测试评估,进行决策软科学研究和发展研究,网络管理和业务管理等支撑系统的开发,应用软件研究与系统集成,开发电信新业务和增值业务等,为集团公司和各省子公司提供决策支撑、技术支撑、信息支撑。
企业网络电话哪家是最好
我们公司用的沃会通的网络电话,通话质量很高,他们的收费也挺便·宜的~~~·
中美贸易战最新情况是什么?整个过程都有哪些关键的事件?
最近的事件:2018/9/24
美国正式对大约2000亿美元的中国商品征收额外10%的关税。 中国方面进行反击,正式对约600亿美元的美国商品额外加征5%-10%的关税。
同时,中国发布《关于中美经贸摩擦的事实和中方立场》白皮书,充分阐明了中国作为负责任大国的政策立场,将贸易战中的事实进行澄清,驳斥美国单方面一意孤行挑起贸易争端的各种行为论调。
9月24日以后就暂时没有太大的动作,但是美联储的第三次加息对离岸人民币的汇率产生了影响。
重要的事件盘点如下:
2017年中美贸易上的各类摩擦已初见端倪
2018/3/9 美国总统特朗普在白宫正式签署了命令,将于15天后对进口的钢铁和铝分别征收25%和10%的关税。
2018/3/22 美国总统特朗普签署备忘录,基于对华“301”报告,指令对中国进口的约600亿商品大规模征收25%的关税,并限制中国企业对美投资并购。
2018/3/23 中国商务部作出反击,宣布拟对从美国进口部分产品加征15%关税。 其中,来自美国的葡萄酒出现在加征关税的名单之中。
2018/4/1 经中国国务院批准,国务院关税税则委员会决定自2018年4月2日起,对原产于美国的7类128项进口商品中止关税减让义务,在现行适用关税税率基础上加征关税。
根据财政部关税司发布的《国务院关税税则委员会对原产于美国的部分进口商品中止关税减让义务的通知》明确,对原产于美国的7类128项进口商品中止关税减让义务,在现行适用关税税率基础上加征关税,对水果及制品等120项进口商品加征关税税率为15%,对猪肉及制品等8项进口商品加征关税税率为25%。 现行保税、减免税政策不变。
2018/4/3 美国政府发布了加征关税的商品清单,覆盖航空航天、信息通讯技术、机械等10多个部门,将对中国价值500亿美元的商品加征25%的关税。
2018/4/4 经中国国务院批准,国务院关税税则委员会决定对原产于美国的大豆、汽车、化工品等14类106项商品加征25%的关税。
中国商务部发布公告自4月12日起,上调对原产于美国及部分欧盟公司的进口乙二醇和二甘醇的单丁醚所适用的反倾销税率,税率介于10.8%-75.5%。
2018/4/6 美国总统特朗普要求美国贸易代表办公室依据“301调查”,额外对价值1000亿美元的中国商品加征关税。
2018/4/16 美国商务部宣布,未来7年将禁止美国公司向中兴通讯销售零部件、商品、软件和技术。 中兴通讯在A股和H股市场随后宣布停牌。
2018/4/17 中国商务部公告,裁定原产于美国的进口高粱存在倾销,并决定实施临时反倾销措施。 自2018年4月18日起,进口经营者在进口原产于美国的进口高粱时,应依据裁定所确定的各公司保证金比率(178.6%)向中华人民共和国海关提供相应的保证金。
2018/4/18 美国监管者将采取一项措施,禁止移动运营商使用联邦补贴购买中国企业生产的任何电信设备。 这项举措在美国联邦通讯委员会(FCC)获得全票通过。 此举的目的是禁止美国运营商利用普遍服务补贴向对美国构成国家安全威胁的企业采购设备。
2018/4/19 中国商务部发布公告,初步裁定原产于美国、欧盟和新加坡的进口卤化丁基橡胶存在倾销。 根据裁定,自2018年4月20日起,进口经营者在进口原产于美国、欧盟和新加坡的卤化丁基橡胶时,应依据裁定所确定的各公司倾销幅度(26.0%-66.5%)向中华人民共和国海关提供相应的保证金。
2018/5/3 美国总统特使、财政部长姆努钦率美方代表团访华,与中方就中美贸易战进行第一轮探讨。
2018/5/4 中美经贸磋商就部分问题达成共识,双方同意建立工作机制保持密切沟通。 双方就扩大美对华出口、双边服务贸易、双向投资、保护知识产权、解决关税和非关税措施等问题充分交换了意见,在有些领域达成了一些共识。
2018/5/7 海关总署网站发布《动植物检疫监管司关于加强对进口美国苹果和原木检验检疫的警示通报》称,加强对进口美国苹果、原木的现场查验,一旦发现疑似病害症状、松材线虫危害状或活体害虫,应取样送实验室进行检测鉴定。 在实验室检测期间,与之相关货物不得放行。 必要时,可采取预防性措施,防止有害生物逃逸;一旦确认为检疫性有害生物,且情况严重的,作为临时紧急措施,应依法对相关货物采取退运或销毁措施,并及时将有关情况报告总署。
2018/5/13 美国总统特朗普发推称将帮助中兴恢复业务,美国商务部已经被指示去完成这件事。 此前,在被特朗普政府禁止使用美国制造的零部件后,中兴宣布已停止主要相关经营活动。
2018/5/17 中方代表团赴美就中美贸易战进行了建设性的磋商。
2018/5/19 中美两国在华盛顿就双边经贸磋商发表联合声明,双方达成共识,不打贸易战,并停止互相加征关税。
2018/5/20 美国财政部长姆努钦表示,美中两国已就框架问题达成协议,同意停打贸易战,并停止互相加征关税。
2018/5/29 美国白宫官网发表声明,美国将加强对获取美国工业重大技术的相关中国个人和实体实施出口管制,并采取具体投资限制,拟于2018年6月30日前正式公布相关措施,之后不久将正式实施。
中国商务部新闻发言人迅速回应表示,我们对白宫发布的策略性声明既感到出乎意料,但也在意料之中,这显然有悖于不久前中美双方在华盛顿达成的共识。 无论美方出台什么举措,中方都有信心、有能力、有经验捍卫中国人民利益和国家核心利益。 中方敦促美方按照联合声明精神相向而行。
2018/5/31 中国反垄断机构派出多个工作小组,分别对三星、海力士、美光三家公司位于北京、上海、深圳的办公室展开“突袭调查”和现场取证,标志着中国反垄断机构正式对三家企业展开立案调查。
2018/6/2 美国商务部长Wilbur Ross率团访华,中美双方团队继续就中美经贸问题进行磋商。
2018/6/15 美国白宫对中美贸易发表声明,对1102种产品总额500亿美元商品征收25%关税。 第一组340亿美元商品关税于7月6日开始征收。
中国国务院关税税则委员会决定对原产于美国的659项约500亿美元进口商品加征25%的关税。
2018/7/6 美国宣布将于当地时间7月6日(北京时间6日中午)起对第一批清单上818个类别、价值340亿美元的中国商品加征25%的进口关税。
中国作出回应,将于同日对同等规模的美国产品加征25%的进口关税,并在世贸组织就美国对华301调查项下正式实施的征税措施追加起诉。
2018/7/11 美国政府发布了对从中国进口的约2000亿美元商品加征10%关税的措施。
2018/7/24 美国就第二组160亿美元中国进口商品加征关税举行听证会。
2018/8/2 美国贸易代表声明称拟将2000亿美元商品加征税率由10%提高至25%。
2018/8/3 中国国务院关税税则委员会决定对原产于美国的5207个税目约600亿美元商品,加征25%、20%、10%、5%不等的关税。
2018/8/20 美国贸易代表办公室就根据所谓“301调查”结果拟对2000亿美元进口自中国的商品加征关税举行公开听证会。
2018/8/22 中国商务部副部长兼国际贸易谈判副代表王受文率中方代表团访美,就经贸问题举行副部级磋商。
2018/8/23 美国对中国产品征收的25%的关税生效,包括半导体、塑料和铁路设备等,针对160亿美元的中国商品。
中国对美反击,对价值160亿美元的美国商品征收关税,包括石油、煤炭、钢铁产品和医疗设备等。
2018/8/31 美国媒体报道,美国总统特朗普最快下周对2000亿美元的中国商品加征关税。
2018/9/3 中国商务部初步认定,原产于台湾地区、马来西亚和美国的进口正丁醇存在倾销,中国大陆正丁醇产业受到实质损害,而且倾销与实质损害之间存在因果关系,决定采用保证金形式实施临时反倾销措施,自9月4日起实施。
2018/9/8 事件1:特朗普在接受记者采访时表示,在对2000亿美元中国商品加征关税后,美国还将对另外2670亿美元商品加征关税,并表示若中美贸易谈判没有实质性进展将很快开征。
事件2:特朗普正考虑启动奥巴马时期的一项行政令,允许美国对参与“恶意网络活动”的实体或个人进行制裁。 此举瞄准的是中国企业,美国可能会以制裁所谓“盗窃”美国知识产权行为,冻结中国企业在美资产,或阻止中国企业到美国做生意。
事件3:白宫首席经济顾问库德洛说,美国仍然与中国继续谈判,但美国的要价很明确:“零关税、零壁垒、零补贴、停止知识产权盗窃,美国人的公司美国人自己拥有。”
2018/9/18 特朗普政府宣布将于24日起对大约2000亿美元的中国进口商品征收额外10%的关税,并自2019年1月1日起上调该税率至25%。
2018/9/24 美国对约2000亿美元的中国进口商品征收额外10%的关税。
中国进行反击,对约600亿美元的美国进口商品额外加征5%-10%的关税,并发布《关于中美经贸摩擦的事实和中方立场》白皮书。
答案由 关数e 海关数据科技服务团队 整理
什么是布云两号一窗?跟支付宝有什么联系吗?
广西布云科技有限公司先是致力于帮助商家打造微信微信平台,现在随着支付宝服务窗的到来,也能提供一套系统为商家打造支付宝服务窗营销平台。商家可以根据自身品牌需要选择平台,当然,现在很多商家选择两个平台都涉足!!现在,布云科技有限公司【布云两号一窗】向全国招商支付宝服务窗代理加盟商啦!!代理【布云两号一窗】支付宝服务窗优势:(3)会销支持免费提供会销所需物料设计支持;多样化的线下硬件拉粉互动设施;知名讲师会销扶持助力现场签名;(4)客户资源各地直接询问客户全部输送当地代销商;(5)售后服务每周一、周四固定时间yy语音在线培训;客服7*24小时全天候服务;合作伙伴讲师支持;运营白皮书每日更新推送;(6)销售优势软硬件结合的体验式营销理念,从吸收、转化到支付完整解决方案,提供标准化各行业解决方案;详细了解【布云两号一窗】支付宝服务窗代理加盟,请拨打代理加盟热线在线咨询
发表评论