全球網(wǎng)絡(luò)安全事件頻發(fā)不斷，企業(yè)紛紛損失慘重。2021 年 11 月，知名 logo4j 漏洞波及全球多達(dá) 6 萬款開源軟件，70%以上企業(yè)受影響。2022 年 3 月，大型加油站服務(wù)商遭到勒索軟件攻擊，要求其支付 200 萬美元贖金，以換取解密器。

為此，國內(nèi)推出相關(guān)法規(guī)加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控。比如今年 6 月，金融監(jiān)管總局發(fā)布《關(guān)于加強(qiáng)第三方合作中網(wǎng)絡(luò)和數(shù)據(jù)安全管理的通知》，通報(bào)了多起安全風(fēng)險(xiǎn)事件。

什么導(dǎo)致的安全事件頻發(fā)？軟件應(yīng)用愈難符合安全監(jiān)管要求，這些問題多源于軟件應(yīng)用生產(chǎn)過程存在安全風(fēng)險(xiǎn)。你可以理解為后廚的設(shè)備不衛(wèi)生，制作流程不規(guī)范，會(huì)導(dǎo)致食品安全隱患，會(huì)被監(jiān)管局查處通報(bào)。而對于軟件應(yīng)用，如果生產(chǎn)環(huán)節(jié)沒做安全防護(hù)，遭到外界攻擊，生產(chǎn)出的軟件容易出安全事故，甚至因違反法規(guī)被責(zé)令下架。

華為云 CodeArts 推出軟件供應(yīng)鏈安全解決方案，對軟件作業(yè)流 12 個(gè)安全威脅點(diǎn)加對應(yīng)防護(hù)機(jī)制。

代碼檢查防止開發(fā)人員編寫不安全代碼；

代碼檢查、代碼艙人工審核、權(quán)限控制防止提交不安全代碼；

訪問控制策略、代碼艙安全性保護(hù)、安全掃描能力，防止代碼管理系統(tǒng)被攻陷，確保代碼可信；

通過對“構(gòu)建環(huán)境”隔離封閉自動(dòng)化構(gòu)建過程，防止構(gòu)建被惡意修改；

細(xì)粒度權(quán)限控制以規(guī)避 CI/CD 集成交付被惡意攻陷；

開源治理及軟件成分分析，確保依賴可信，杜絕錯(cuò)誤依賴、依賴項(xiàng)被惡意投毒；

在持續(xù)集成交付中增設(shè)全封閉、自動(dòng)化，構(gòu)建可溯源，防止 CI/CD 被惡意繞過；

權(quán)限訪問控制、制品倉完整性保護(hù)能力，防止包管理系統(tǒng)被攻陷；

制品安全掃描和完整性檢查，以杜絕版本發(fā)布時(shí)使用到錯(cuò)誤包；

權(quán)限訪問控制、自動(dòng)化部署，防止部署過程被篡改；

在部署過程驗(yàn)證部署包的完整性，防止部署內(nèi)容篡改或不合規(guī)；

運(yùn)行態(tài)的漏洞檢查及漏洞阻斷能力，防止運(yùn)行態(tài)漏洞利用。

12 大安全防護(hù)點(diǎn)為軟件生產(chǎn)作業(yè)全面護(hù)航，支撐了快速響應(yīng) log4j 漏洞，24 小時(shí)內(nèi)感知漏洞，48 小時(shí)完成所有關(guān)聯(lián)產(chǎn)品追溯驗(yàn)證，共追溯受影響產(chǎn)品 179 個(gè)。華為云 CodeArts 供應(yīng)鏈安全解決方案端到端的全面防護(hù)，通過保障生產(chǎn)出“安全的軟件”，降低企業(yè)應(yīng)用安全事故風(fēng)險(xiǎn)，協(xié)助企業(yè)應(yīng)用順利通過等保合規(guī)檢測。

審核編輯 黃宇