《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 其他 > 設(shè)計(jì)應(yīng)用 > 電信運(yùn)營(yíng)商開(kāi)源軟件供應(yīng)鏈安全治理探討
電信運(yùn)營(yíng)商開(kāi)源軟件供應(yīng)鏈安全治理探討
網(wǎng)絡(luò)安全與數(shù)據(jù)治理 1期
余建利,姜榮霞,盧 蓉 (中國(guó)移動(dòng)通信集團(tuán)浙江有限公司,浙江 杭州310000)
(中國(guó)移動(dòng)通信集團(tuán)浙江有限公司,浙江 杭州310000)
摘要: 隨著開(kāi)源軟件被廣泛應(yīng)用于各生產(chǎn)系統(tǒng),擔(dān)負(fù)著保障人民通信需求的國(guó)內(nèi)電信運(yùn)營(yíng)商面臨著越來(lái)越多的安全風(fēng)險(xiǎn)。分析了開(kāi)源軟件供應(yīng)鏈安全問(wèn)題對(duì)電信運(yùn)營(yíng)商造成的各種風(fēng)險(xiǎn),探討了電信運(yùn)營(yíng)商的開(kāi)源軟件供應(yīng)鏈安全治理方法,通過(guò)頂層設(shè)計(jì)、開(kāi)源軟件檢測(cè)、安全倉(cāng)庫(kù)構(gòu)建和DevSecOps實(shí)踐,可有效降低電信運(yùn)營(yíng)商安全風(fēng)險(xiǎn)。
中圖分類(lèi)號(hào): TP311.52
文獻(xiàn)標(biāo)識(shí)碼: A
DOI: 10.19358/j.issn.2097-1788.2023.01.009
引用格式: 余建利,姜榮霞,盧蓉. 電信運(yùn)營(yíng)商開(kāi)源軟件供應(yīng)鏈安全治理探討[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2023,42(1):67-71,85.
Discussion on security governance of open source software supply chain of telecommunication operators
Yu Jianli,Jiang Rongxia,Lu Rong
(China Mobile Group Zhejiang Co.,Ltd.,Hangzhou 310000,China)
Abstract: As open source software is widely used in various production systems, domestic telecom operators who are responsible for ensuring people′s communication needs are facing more and more security risks. This paper analyzes the various risks caused by the security problems of open source software supply chain to telecom operators, and discusses the security governance methods of open source software supply chain of telecom operators. Through top-level design, open source software detection, security warehouse construction and DevSecOps practice, the security risks of telecom operators can be effectively reduced.
Key words : open source software;software supply chain;security vulnerabilities;security governance

0 引言

開(kāi)源軟件是一種任何人都可以共享和修改編碼的軟件,開(kāi)發(fā)者對(duì)成果共享和自由軟件的追求促使開(kāi)源軟件迅猛發(fā)展。目前,開(kāi)源軟件已在電信運(yùn)營(yíng)商等企業(yè)中普遍使用,同時(shí),針對(duì)開(kāi)源軟件供應(yīng)鏈的攻擊事件頻頻發(fā)生,因此亟需探討電信運(yùn)營(yíng)商的開(kāi)源軟件供應(yīng)鏈安全治理方法,降低電信運(yùn)營(yíng)商安全風(fēng)險(xiǎn)。

根據(jù)美國(guó)弗雷斯特研究公司的統(tǒng)計(jì)數(shù)據(jù),全球80%以上的軟件應(yīng)用了開(kāi)源軟件,軟件中80%~90%的代碼來(lái)自于開(kāi)源軟件,而在通信行業(yè)中應(yīng)用開(kāi)源軟件的應(yīng)用軟件比例高達(dá)95%[1]。

在我國(guó),企業(yè)使用開(kāi)源軟件也非常普遍,根據(jù)奇安信代碼安全實(shí)驗(yàn)室2021年針對(duì)3 354個(gè)國(guó)內(nèi)企業(yè)軟件的分析數(shù)據(jù),無(wú)一例外,均使用了開(kāi)源軟件,平均每個(gè)軟件使用的開(kāi)源軟件達(dá)127個(gè)[2]。



本文詳細(xì)內(nèi)容請(qǐng)下載:http://theprogrammingfactory.com/resource/share/2000005100.




作者信息:

余建利,姜榮霞,盧  蓉

(中國(guó)移動(dòng)通信集團(tuán)浙江有限公司,浙江 杭州310000)


歡迎關(guān)注電子技術(shù)應(yīng)用2023年2月22日==>>商業(yè)航天研討會(huì)<<

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。