开发安全与供应链安全 | TF61回顾
6月16日, CCF TF 第61期“开发安全与供应链安全”成功举办。活动邀请了悬镜安全的创始人张涛(子芽),默安科技董事副总裁沈锡镛,墨云科技安全研究员马伦杰(和其正)3位重量级嘉宾,吸引了200多名观众参与。本年度安全SIG的活动还有两场,欢迎大家报名参与,具体时间请见文末。
在2020年第SolarWinds被入侵、2021年底Log4J2漏洞等软件供应链安全事故频出的大背景下,本期活动重点讨论了软件开发过程中的安全保障,以及软件供应链安全安全问题,并为参会者互动交流。本次活动由CCF TF安全SIG主席谭晓生主持。
谭晓生在开场介绍了最近两年软件供应链方面的重大事故、DevSecOps概念的以及三位讲者的背景和他们在开发安全与供应链安全工作方面的经历。
主题分享开始后,墨云科技安全研究员马伦杰首先做了题为《针对APT攻击的软件供应链安全体系建设与未知风险控制》的报告,从对软件供应链的APT攻击的防御做为切入点,介绍墨云对软件供应商做安全管理的措施,首先对供应商的安全开发流程做了解,然后对供应商提供的程序多安全测试、后门检测、软件成份分析,在软件升级更新阶段持续做软件安全性分析,最后,在软件下架阶段也要做到彻底下架,避免存在影子资产,给攻击者留下攻击的机会。
然后介绍了软件安全检测的方法、步骤以及具体技术实现。