2023年2月16日，首屆ICT軟件供應鏈安全治理論壇暨信息通信軟件供應鏈安全社區第二屆成員大會在北京成功舉辦，多位業界頂級專家與工業和信息化部網絡安全管理局相關領導出席，為現場觀眾分享了關于軟件供應鏈可持續性與安全治理行業的前瞻與思考。

會議期間，墨菲安全自主研發的【軟件供應鏈安全管理平臺】被授予自主研發創新成果獎。會議下午，墨菲安全協助中國移動舉辦分會場論壇《推進標準體系建設與評估 保證軟件供應鏈安全可信》，墨菲安全聯合創始人在現場帶來了精彩技術分享，贏得了現場專家及企業代表的好評。

大會現場舉行了頒獎儀式，墨菲安全【軟件供應鏈安全管理平臺】榮獲自主研發創新成果獎。

當日下午分會場，墨菲安全協助中國移動舉辦分會場論壇《推進標準體系建設與評估 保證軟件供應鏈安全可信》，墨菲安全聯合創始人兼實驗室負責人歐陽強斌帶來分享《軟件供應鏈漏洞及投毒情報在合規場景中的應用》。分享基于 《信息安全技術軟件供應鏈安全要求》國家標準（已于2022年發布征求意見稿），深度剖析了漏洞利用與軟件后門植入風險，以及如何通過情報提高風險應對能力，幫助企業滿足合規要求。

《信息安全技術軟件供應鏈安全要求》可能成為未來軟件供應鏈安全合規的基本要求，其中提到了10類風險，漏洞利用和軟件后門植入是重點關注的風險。

1、從軟件供應鏈的角度來看，依賴的開源組件、部署的開源應用以及使用的商業軟件是三類典型的漏洞利用風險引入場景。

2、在標準中針對軟件后門植入的風險又細分為供方預留的后門以及攻擊者惡意植入的場景，從歷史案例來看，軟件產品后門以及在通信行業中大量涉及到的路由器、防火墻等網絡設備存在較大的后門隱患；在攻擊者惡意植入后門的場景中，還存在著2022年NPM中存在著faker.js和node-ipc這樣典型的熱門組件開發者化身攻擊者在代碼中加入惡意邏輯的事件。

針對這樣的風險，通過以漏洞情報、投毒情報為代表的情報數據，能夠幫助企業實現三類種典型控制能力：

1、引入前的準入與卡位

2、引入中的檢測與修復

3、引入后的風險監測與處置

在當前漏洞和投毒情報的構建還面臨許多挑戰，如公開漏洞庫的數據不全、質量不高，投毒情報沒有公開數據。墨菲安全在持續建設漏洞和投毒的情報能力，通過自建漏洞庫、投毒情報挖掘能力，提供有效的情報能夠幫助企業實現風險的事前排查和持續監測，提升安全工程師運營處置效率，實現軟件供應鏈安全合規治理。

（完整分享回放可搜索“墨菲安全”的視頻號/Bilibili查看）

同時協助電信分論壇《打造供應鏈評估體系 應對安全威脅挑戰》，墨菲安全聯合創始人兼產品負責人車志遠帶來分享《覆蓋全文件對象的高精檢測及自動修復的軟件供應鏈安全技術》。

分享圍繞企業依據 SBOM 進行軟件供應鏈安全風險治理時，依賴的全文件類型對象的覆蓋能力、高精度的檢測能力、自動修復等關鍵技術能力，為企業在風險治理的落地上提供建設思路。

1、全文件類型對象的覆蓋能力，主要解決復雜供應鏈軟件類型場景下的檢測問題：重點介紹了源代碼、二進制文件SBOM分析的難點和技術方案，及其應用場景。

2、高精度的檢測能力，主要解決風險檢測出現的漏報、誤報問題：重點介紹精準漏洞知識庫的建設難點和實現方案，以及對于漏洞真實風險評估（漏洞可達性）的技術方案和其業務場景。

3、自動修復能力，主要解決風險修復成本高的問題：重點圍繞版本升級兼容性分析、代碼補丁生成以及二進制文件漏洞修復這三個實踐落地中常見的處置場景，分別介紹了實現難點和技術方案，以及對應的應用場景。

（完整分享回放可搜索“墨菲安全”的視頻號/Bilibili查看）

會議全程期間，墨菲安全展區隨時為各位參會者準備了相關資料以及電子版各行業完整資料包，為大家提出的疑問進行介紹和講解。

未來，社區將在指導單位的關心和支持下、在社區會員的共同努力下繼續蓬勃發展，墨菲安全作為其中一員將努力為軟件供應鏈安全治理貢獻自己的一份力量！

關于墨菲安全

墨菲安全是一家為您提供專業的軟件供應鏈安全管理的科技公司，核心團隊來自百度、華為、烏云等企業，公司為客戶提供完整的軟件供應鏈安全管理平臺，圍繞SBOM提供軟件全生命周期的安全管理，平臺能力包括軟件成分分析、源安全管理、容器鏡像檢測、漏洞情報預警及商業軟件供應鏈準入評估等多個產品。

墨非安全為客戶提供從供應鏈資產識別管理、風險檢測、安全控制、一鍵修復的完整控制能力。同時產品可以極低成本的和現有開發流程中的各種工具一鍵打通，包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等數十種工具無縫集成。目前墨菲安全已經服務包括螞蟻、平安、快手等在內的數百家企業客戶。

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據。

關鍵詞：