企业供应链安全
信息安全里面的供应链安全,是狭义范围的供应链安全,其最终安全问题是体现在应用系统上的问题。供应链的软件组件会持续支撑整个应用系统的生命周期,如果组件出现问题,会直接影响到应用系统的可用性安全性。应用系统的供应链安全,实际上是由三个部分组成的。分别是应用安全里面软件开发中的依赖包(log4j),基础安全里面的应用运行组件(phpstudy),办公安全里的开发IDE(xcodeghost)。
供应链安全的建设落地
1、状态调研及评估:调研安全建设状态,评估建设完成度。
2、决策工作内容:结合调研结果,结合公司整体的建设方案,来决定工作内容,内容顺序,落地方案。供应链安全建设中,优先级最高的是依赖包供应链的安全建设,其次是基础IT组件,其次是办公终端IDE安全。一般公司的安全部门都可以完成的,也就是在应用安全里的代码审计部分,实现自动化的统计依赖包,建立清单,跟随代码审计更新。
