電信運營商開源軟件供應鏈安全治理探討
網(wǎng)絡(luò)安全與數(shù)據(jù)治理 1期
余建利,姜榮霞,盧 蓉 (中國移動通信集團浙江有限公司,浙江 杭州310000)
(中國移動通信集團浙江有限公司,浙江 杭州310000)
摘要: 隨著開源軟件被廣泛應用于各生產(chǎn)系統(tǒng),擔負著保障人民通信需求的國內(nèi)電信運營商面臨著越來越多的安全風險。分析了開源軟件供應鏈安全問題對電信運營商造成的各種風險,探討了電信運營商的開源軟件供應鏈安全治理方法,通過頂層設(shè)計、開源軟件檢測、安全倉庫構(gòu)建和DevSecOps實踐,可有效降低電信運營商安全風險。
中圖分類號: TP311.52
文獻標識碼: A
DOI: 10.19358/j.issn.2097-1788.2023.01.009
引用格式: 余建利,姜榮霞,盧蓉. 電信運營商開源軟件供應鏈安全治理探討[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2023,42(1):67-71,85.
文獻標識碼: A
DOI: 10.19358/j.issn.2097-1788.2023.01.009
引用格式: 余建利,姜榮霞,盧蓉. 電信運營商開源軟件供應鏈安全治理探討[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2023,42(1):67-71,85.
Discussion on security governance of open source software supply chain of telecommunication operators
Yu Jianli,Jiang Rongxia,Lu Rong
(China Mobile Group Zhejiang Co.,Ltd.,Hangzhou 310000,China)
Abstract: As open source software is widely used in various production systems, domestic telecom operators who are responsible for ensuring people′s communication needs are facing more and more security risks. This paper analyzes the various risks caused by the security problems of open source software supply chain to telecom operators, and discusses the security governance methods of open source software supply chain of telecom operators. Through top-level design, open source software detection, security warehouse construction and DevSecOps practice, the security risks of telecom operators can be effectively reduced.
Key words : open source software;software supply chain;security vulnerabilities;security governance
0 引言
開源軟件是一種任何人都可以共享和修改編碼的軟件,開發(fā)者對成果共享和自由軟件的追求促使開源軟件迅猛發(fā)展。目前,開源軟件已在電信運營商等企業(yè)中普遍使用,同時,針對開源軟件供應鏈的攻擊事件頻頻發(fā)生,因此亟需探討電信運營商的開源軟件供應鏈安全治理方法,降低電信運營商安全風險。
根據(jù)美國弗雷斯特研究公司的統(tǒng)計數(shù)據(jù),全球80%以上的軟件應用了開源軟件,軟件中80%~90%的代碼來自于開源軟件,而在通信行業(yè)中應用開源軟件的應用軟件比例高達95%[1]。
在我國,企業(yè)使用開源軟件也非常普遍,根據(jù)奇安信代碼安全實驗室2021年針對3 354個國內(nèi)企業(yè)軟件的分析數(shù)據(jù),無一例外,均使用了開源軟件,平均每個軟件使用的開源軟件達127個[2]。
本文詳細內(nèi)容請下載:http://www.jysgc.com/resource/share/2000005100.
作者信息:
余建利,姜榮霞,盧 蓉
(中國移動通信集團浙江有限公司,浙江 杭州310000)
歡迎關(guān)注電子技術(shù)應用2023年2月22日==>>商業(yè)航天研討會<<
此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。