電信運(yùn)營商開源軟件供應(yīng)鏈安全治理探討
網(wǎng)絡(luò)安全與數(shù)據(jù)治理 1期
余建利,姜榮霞,盧 蓉 (中國移動通信集團(tuán)浙江有限公司,浙江 杭州310000)
(中國移動通信集團(tuán)浙江有限公司,浙江 杭州310000)
摘要: 隨著開源軟件被廣泛應(yīng)用于各生產(chǎn)系統(tǒng),擔(dān)負(fù)著保障人民通信需求的國內(nèi)電信運(yùn)營商面臨著越來越多的安全風(fēng)險。分析了開源軟件供應(yīng)鏈安全問題對電信運(yùn)營商造成的各種風(fēng)險,探討了電信運(yùn)營商的開源軟件供應(yīng)鏈安全治理方法,通過頂層設(shè)計、開源軟件檢測、安全倉庫構(gòu)建和DevSecOps實(shí)踐,可有效降低電信運(yùn)營商安全風(fēng)險。
中圖分類號: TP311.52
文獻(xiàn)標(biāo)識碼: A
DOI: 10.19358/j.issn.2097-1788.2023.01.009
引用格式: 余建利,姜榮霞,盧蓉. 電信運(yùn)營商開源軟件供應(yīng)鏈安全治理探討[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2023,42(1):67-71,85.
文獻(xiàn)標(biāo)識碼: A
DOI: 10.19358/j.issn.2097-1788.2023.01.009
引用格式: 余建利,姜榮霞,盧蓉. 電信運(yùn)營商開源軟件供應(yīng)鏈安全治理探討[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2023,42(1):67-71,85.
Discussion on security governance of open source software supply chain of telecommunication operators
Yu Jianli,Jiang Rongxia,Lu Rong
(China Mobile Group Zhejiang Co.,Ltd.,Hangzhou 310000,China)
Abstract: As open source software is widely used in various production systems, domestic telecom operators who are responsible for ensuring people′s communication needs are facing more and more security risks. This paper analyzes the various risks caused by the security problems of open source software supply chain to telecom operators, and discusses the security governance methods of open source software supply chain of telecom operators. Through top-level design, open source software detection, security warehouse construction and DevSecOps practice, the security risks of telecom operators can be effectively reduced.
Key words : open source software;software supply chain;security vulnerabilities;security governance
0 引言
開源軟件是一種任何人都可以共享和修改編碼的軟件,開發(fā)者對成果共享和自由軟件的追求促使開源軟件迅猛發(fā)展。目前,開源軟件已在電信運(yùn)營商等企業(yè)中普遍使用,同時,針對開源軟件供應(yīng)鏈的攻擊事件頻頻發(fā)生,因此亟需探討電信運(yùn)營商的開源軟件供應(yīng)鏈安全治理方法,降低電信運(yùn)營商安全風(fēng)險。
根據(jù)美國弗雷斯特研究公司的統(tǒng)計數(shù)據(jù),全球80%以上的軟件應(yīng)用了開源軟件,軟件中80%~90%的代碼來自于開源軟件,而在通信行業(yè)中應(yīng)用開源軟件的應(yīng)用軟件比例高達(dá)95%[1]。
在我國,企業(yè)使用開源軟件也非常普遍,根據(jù)奇安信代碼安全實(shí)驗(yàn)室2021年針對3 354個國內(nèi)企業(yè)軟件的分析數(shù)據(jù),無一例外,均使用了開源軟件,平均每個軟件使用的開源軟件達(dá)127個[2]。
本文詳細(xì)內(nèi)容請下載:http://www.viuna.cn/resource/share/2000005100.
作者信息:
余建利,姜榮霞,盧 蓉
(中國移動通信集團(tuán)浙江有限公司,浙江 杭州310000)
歡迎關(guān)注電子技術(shù)應(yīng)用2023年2月22日==>>商業(yè)航天研討會<<
此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。