登录
注册
个人信息
我的订单
我的报告豆
我的优惠券
我的笔记
我的阅读
我的收藏
我的下载
我的上传
我的订阅
在线客服
退出登录
回到首页
AI
搜索
发现报告
发现数据
发现专题
专题报告
专题百科
研选报告
定制报告
VIP
权益
发现大使
发现一下
行业研究
公司研究
宏观策略
财报
招股书
会议纪要
seedance2.0
低空经济
DeepSeek
AIGC
大模型
当前位置:首页
/
行业研究
/
报告详情
魏辰-网商软件供应链安全治理实践
信息技术
2022-12-14
EISS
Hallam贾文强
软件供应链风险形势严峻,2022年应急响应近百次,投毒事件频发,存在针对企业批量投毒的案例。
漏洞排查面临挑战:依赖包发布渠道众多,投毒难防护,外部缺乏可靠情报,员工安装时拼写错误即可中招,敏感信息窃取难感知。
漏洞应急处置流程需完善,包括:
SBOM数据获取
:通过主机采集覆盖全量应用、容器、物理机,每日更新数据,支持Java、Nodejs代码静态分析,分析调用链路,支持应用发布卡点,针对非标/外采应用制定特殊策略。
持续管控
:依赖Maven Enforce能力,支持IDE本地研发、应用发布流程,支持通配符、版本区间。
后门投毒防御策略:
严格准入
:收敛渠道。
恶意包屏蔽流程
:结合静态扫描(语义分析、正则、黑名单关键字)、动态扫描(Falco, Sysdig)、应用层切面检测(补充网络请求详情、调用链路信息)。
动态扫描时效优化
:依赖包日增量30000,减少无效扫描,引入风险决策综合打分,沙箱加固(VPC隔离、云防火墙、容器定时清理、安骑士日志监控)。
TNPM准入方案
:同步上游时触发扫描,异步拉黑,连续多个版本有风险则拉黑整个包,CI/CD阶段发现引入新包需审批。
你可能感兴趣
软件供应链安全治理实践指南白皮书
商贸零售
中国联通
2023-12-21
软件供应链安全之开发者最佳实践指南
商贸零售
未知机构
2022-08-15
李威-大模型时代软件供应链的效率与安全管理实践-
商贸零售
2024AI研发数字峰会AiDD北京站
2024-11-17
软件供应链安全之开发者最佳实践指南
商贸零售
未知机构
2022-09-17
陈曙光-中国联通软件供应链安全测试实践
商贸零售
2024 第22届 GOPS 全球运维大会暨 XOps 技术创新峰会 · 深圳站
2024-05-13
