电信运营商开源软件供应链安全治理探讨
网络安全与数据治理 1期
余建利,姜荣霞,卢 蓉 (中国移动通信集团浙江有限公司,浙江 杭州310000)
(中国移动通信集团浙江有限公司,浙江 杭州310000)
摘要: 随着开源软件被广泛应用于各生产系统,担负着保障人民通信需求的国内电信运营商面临着越来越多的安全风险。分析了开源软件供应链安全问题对电信运营商造成的各种风险,探讨了电信运营商的开源软件供应链安全治理方法,通过顶层设计、开源软件检测、安全仓库构建和DevSecOps实践,可有效降低电信运营商安全风险。
中图分类号: TP311.52
文献标识码: A
DOI: 10.19358/j.issn.2097-1788.2023.01.009
引用格式: 余建利,姜荣霞,卢蓉. 电信运营商开源软件供应链安全治理探讨[J].网络安全与数据治理,2023,42(1):67-71,85.
文献标识码: A
DOI: 10.19358/j.issn.2097-1788.2023.01.009
引用格式: 余建利,姜荣霞,卢蓉. 电信运营商开源软件供应链安全治理探讨[J].网络安全与数据治理,2023,42(1):67-71,85.
Discussion on security governance of open source software supply chain of telecommunication operators
Yu Jianli,Jiang Rongxia,Lu Rong
(China Mobile Group Zhejiang Co.,Ltd.,Hangzhou 310000,China)
Abstract: As open source software is widely used in various production systems, domestic telecom operators who are responsible for ensuring people′s communication needs are facing more and more security risks. This paper analyzes the various risks caused by the security problems of open source software supply chain to telecom operators, and discusses the security governance methods of open source software supply chain of telecom operators. Through top-level design, open source software detection, security warehouse construction and DevSecOps practice, the security risks of telecom operators can be effectively reduced.
Key words : open source software;software supply chain;security vulnerabilities;security governance
0 引言
开源软件是一种任何人都可以共享和修改编码的软件,开发者对成果共享和自由软件的追求促使开源软件迅猛发展。目前,开源软件已在电信运营商等企业中普遍使用,同时,针对开源软件供应链的攻击事件频频发生,因此亟需探讨电信运营商的开源软件供应链安全治理方法,降低电信运营商安全风险。
根据美国弗雷斯特研究公司的统计数据,全球80%以上的软件应用了开源软件,软件中80%~90%的代码来自于开源软件,而在通信行业中应用开源软件的应用软件比例高达95%[1]。
在我国,企业使用开源软件也非常普遍,根据奇安信代码安全实验室2021年针对3 354个国内企业软件的分析数据,无一例外,均使用了开源软件,平均每个软件使用的开源软件达127个[2]。
本文详细内容请下载:https://www.chinaaet.com/resource/share/2000005100.
作者信息:
余建利,姜荣霞,卢 蓉
(中国移动通信集团浙江有限公司,浙江 杭州310000)
欢迎关注电子技术应用2023年2月22日==>>商业航天研讨会<<
此内容为AET网站原创,未经授权禁止转载。