電信運營商開源軟件供應鏈安全治理探討
網絡安全與數據治理 1期
余建利,姜榮霞,盧 蓉 (中國移動通信集團浙江有限公司,浙江 杭州310000)
(中國移動通信集團浙江有限公司,浙江 杭州310000)
摘要: 隨著開源軟件被廣泛應用于各生產系統,擔負著保障人民通信需求的國內電信運營商面臨著越來越多的安全風險。分析了開源軟件供應鏈安全問題對電信運營商造成的各種風險,探討了電信運營商的開源軟件供應鏈安全治理方法,通過頂層設計、開源軟件檢測、安全倉庫構建和DevSecOps實踐,可有效降低電信運營商安全風險。
中圖分類號: TP311.52
文獻標識碼: A
DOI: 10.19358/j.issn.2097-1788.2023.01.009
引用格式: 余建利,姜榮霞,盧蓉. 電信運營商開源軟件供應鏈安全治理探討[J].網絡安全與數據治理,2023,42(1):67-71,85.
文獻標識碼: A
DOI: 10.19358/j.issn.2097-1788.2023.01.009
引用格式: 余建利,姜榮霞,盧蓉. 電信運營商開源軟件供應鏈安全治理探討[J].網絡安全與數據治理,2023,42(1):67-71,85.
Discussion on security governance of open source software supply chain of telecommunication operators
Yu Jianli,Jiang Rongxia,Lu Rong
(China Mobile Group Zhejiang Co.,Ltd.,Hangzhou 310000,China)
Abstract: As open source software is widely used in various production systems, domestic telecom operators who are responsible for ensuring people′s communication needs are facing more and more security risks. This paper analyzes the various risks caused by the security problems of open source software supply chain to telecom operators, and discusses the security governance methods of open source software supply chain of telecom operators. Through top-level design, open source software detection, security warehouse construction and DevSecOps practice, the security risks of telecom operators can be effectively reduced.
Key words : open source software;software supply chain;security vulnerabilities;security governance
0 引言
開源軟件是一種任何人都可以共享和修改編碼的軟件,開發者對成果共享和自由軟件的追求促使開源軟件迅猛發展。目前,開源軟件已在電信運營商等企業中普遍使用,同時,針對開源軟件供應鏈的攻擊事件頻頻發生,因此亟需探討電信運營商的開源軟件供應鏈安全治理方法,降低電信運營商安全風險。
根據美國弗雷斯特研究公司的統計數據,全球80%以上的軟件應用了開源軟件,軟件中80%~90%的代碼來自于開源軟件,而在通信行業中應用開源軟件的應用軟件比例高達95%[1]。
在我國,企業使用開源軟件也非常普遍,根據奇安信代碼安全實驗室2021年針對3 354個國內企業軟件的分析數據,無一例外,均使用了開源軟件,平均每個軟件使用的開源軟件達127個[2]。
本文詳細內容請下載:http://www.jysgc.com/resource/share/2000005100.
作者信息:
余建利,姜榮霞,盧 蓉
(中國移動通信集團浙江有限公司,浙江 杭州310000)
歡迎關注電子技術應用2023年2月22日==>>商業航天研討會<<
此內容為AET網站原創,未經授權禁止轉載。