-
题名基于区块链的软件物料清单数据共享管控方法研究
- 1
-
-
作者
张心语
杨凯
陈隽
冉鹏
方煦譞
-
机构
中国移动通信有限公司研究院
中国移动通信集团有限公司
-
出处
《电信工程技术与标准化》
2025年第2期19-25,共7页
-
文摘
软件物料清单对软件供应链安全意义重大,但当前其数据价值挖掘与有效性保障面临挑战。本文提出基于区块链的企业级软件物料清单数据共享管控方法,设计基于数据质量评估的激励机制与智能合约。该方法利用区块链特性,防止数据篡改与窃取,严格把控数据质量,多场景触发智能合约实现数据共享,为企业软件透明度管理提供有效支撑,助力提升软件供应链安全。
-
关键词
软件供应链安全
软件物料清单
区块链技术
-
Keywords
software supply chain security
software bill of materials
blockchain technology
-
分类号
TN918
[电子电信—通信与信息系统]
-
-
题名关键信息基础设施软件供应链风险分析及应对方法研究
被引量:3
- 2
-
-
作者
李祉岐
郭晨萌
汤文玉
杨思敏
王雪岩
-
机构
国网思极网安科技(北京)有限公司
-
出处
《信息安全研究》
CSCD
北大核心
2024年第9期833-839,共7页
-
文摘
关键信息基础设施中系统的安全保护至关重要,软件供应链风险分析在其中不可或缺.近年来供应链攻击事件迅速增长,形势严峻.以软件供应链威胁的主要诱因,如“外部”的软件成分、人员、支撑工具等要素的潜在问题分析为出发点,结合对国内外政策和技术的现状研究,提出了针对电力行业系统的软件供应链安全保障框架,涵盖了外部组件治理、供应商管理、研运设施加固、软件物料清单应用机制4方面15组安全方法,并可持续扩展,旨在为电力行业重要信息系统的软件供应链安全防护提供参考.
-
关键词
关键信息基础设施
系统安全
软件供应链
安全保障框架
电力行业
-
Keywords
critical information infrastructure(CII)
system security
software supply chain
security framework
power industry
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
-
题名开源软件供应链安全风险分析研究
被引量:1
- 3
-
-
作者
王江
姜伟
张璨
-
机构
中国网络空间研究院
-
出处
《信息安全研究》
CSCD
北大核心
2024年第9期862-869,共8页
-
基金
国家社科基金项目(23VRC094)
国家社科基金重大项目(22&ZD147)
国家重点研发计划项目(2021YFB3101300,2021YFB3101302,2021YFB3101305)。
-
文摘
开源软件已经成为支撑数字社会正常运转的最基本元素之一,渗透到各个行业和领域.随着开源软件供应链越发复杂多元,开源软件供应链安全攻击事件造成的危害也越发严重.梳理了开源软件供应链生态发展现状和世界主要国家开源软件供应链安全战略布局,从开源软件开发安全、使用安全和运营安全维度,提出了开源软件供应链安全风险分析体系,给出当前开源软件供应链面临的主要安全风险,构建了开源软件供应链安全保障模型,并从供应链环节、相关主体和保障措施3个维度提出我国开源软件供应链安全与发展对策建议.
-
关键词
网络安全
软件安全
开源软件
软件供应链
开源软件供应链安全
-
Keywords
network security
software security
open-source software
software supply chain
open-source software supply chain security
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-
-
题名大模型赋能软件供应链开发环节安全研究综述
- 4
-
-
作者
刘井强
田星
舒钰淇
朱小溪
刘玉岭
刘奇旭
-
机构
中国科学院信息工程研究所
中国科学院大学网络空间安全学院
-
出处
《信息安全学报》
CSCD
2024年第5期87-109,共23页
-
基金
中国科学院青年创新促进会
中国科学院网络测评技术重点实验室
+1 种基金
网络安全防护技术北京市重点实验室项目资助
国家电网有限公司科技项目资助(No.5700-202352606A-3-2-ZN)。
-
文摘
随着信息技术的快速发展,软件的模块化与产业化趋势愈加显著,导致软件构建的复杂性持续攀升,从而暴露出更多的攻击面,引发了多起软件供应链攻击事件。软件供应链安全不仅具有攻击门槛低、攻击方式多样、攻击隐蔽性强等特点,而且能够影响软件供应链下游安全,显著扩大了攻击范围,成为业界广泛关注的焦点。首先,本文介绍了软件供应链安全的背景,以大模型及软件供应链安全的相关概念为出发点,描述了软件供应链安全防护的发展历程。接着,本文着重探讨了大模型在软件开发环节供应链安全防护中的应用研究,通过系统梳理和分析现有研究成果,分别从顶级源、依赖项、软件包构件及其构建过程四个维度,介绍了大模型赋能软件供应链安全防护技术的研究现状。在此基础上,本文通过对比传统软件供应链安全防护的技术与方法,重点分析了大模型赋能软件供应链开发环节安全方面的优势和机遇。最后,结合对当前研究现状的调研分析,本文总结了大模型在软件供应链安全防护技术中面临的数据集构建、模型训练微调、模型稳定性以及引入新的供应链安全等问题,并据此提出了未来可能的研究方向,以期为推动该领域的持续发展提供有益的参考和启示。
-
关键词
大模型
软件供应链安全
软件开发
软件安全
-
Keywords
large language model
software supply chain security
software development
software security
-
分类号
TP393.0
[自动化与计算机技术—计算机应用技术]
-
-
题名基础电信企业软件供应链安全风险识别与技术研究
被引量:3
- 5
-
-
作者
叶剑飞
冯承基
王晓周
刘曈
-
机构
中国移动通信集团有限公司
-
出处
《电信工程技术与标准化》
2024年第2期16-19,共4页
-
文摘
随着当前软件复杂度不断增加、开源化趋势日益增强,基础电信企业软件供应链各个环节面临的数据泄露、安全漏洞和恶意篡改等威胁随之加剧。本文对基础电信企业软件供应链中主要涉及的商采软件和自研软件的安全风险进行分析识别,并对相关软件供应链风险分析技术进行梳理和研究。
-
关键词
软件供应链
安全风险管理
风险识别
-
Keywords
software supply chain
security risk management
risk identification
-
分类号
TN918
[电子电信—通信与信息系统]
-
-
题名基础软件供应链安全现状分析与对策建议
- 6
-
-
作者
张蕾
闻书韵
-
机构
国家工业信息安全发展研究中心
-
出处
《信息安全研究》
CSCD
北大核心
2024年第8期780-784,共5页
-
文摘
基础软件是支撑计算机系统高效稳定运行的基石,决定数字基础设施发展的水平.以操作系统、数据库、中间件为代表的基础软件产业链在整个软件产业处于上游位置,直接影响下游产出的规模和效益.由于基础软件具有研发周期长、投入大等特点,在软件供应链日益复杂的环境下,逐渐引起各国重视并上升至国家战略高度.近年来,我国基础软件产业借助开源路径提速发展的同时,发生了众多基础软件供应链安全事件,带来了风险挑战.梳理了基础软件供应链安全现状,分析基础软件供应链面临的风险挑战,并从政策、产业、用户、生态4个层面提出合理化对策建议.
-
关键词
基础软件
国家战略
供应链安全
风险挑战
对策建议
-
Keywords
basic software
national strategy
supply chain security
risk and challenge
countermeasure
-
分类号
TP311.52
[自动化与计算机技术—计算机软件与理论]
-
-
题名软件供应链安全综述
被引量:28
- 7
-
-
作者
何熙巽
张玉清
刘奇旭
-
机构
中国科学院大学国家计算机网络入侵防范中心
西安电子科技大学网络与信息安全学院
中国科学院信息工程研究所
-
出处
《信息安全学报》
CSCD
2020年第1期57-73,共17页
-
基金
国家重点研发计划基金资助项目(No.2016YFB0800700)
国家自然科学基金资助项目(No.61572460,No.61272481)
+1 种基金
信息安全国家重点实验室的开放课题基金资助项目(No.2017-ZD-01)
国家发改委信息安全专项基金资助项目(No.(2012)1424)资助
-
文摘
随着信息技术产业的发展和软件开发需求的扩展,软件开发的难度与复杂度不断上升,针对软件供应链的重大安全事件时有发生。这些事件展现了软件供应链攻击低成本而高效的特点以及软件供应链管理的复杂性,使得软件供应链的安全问题受到了广泛的关注,相关领域的研究工作也进入了起步阶段。本文从软件供应链安全的定义以及发展历程入手,介绍了软件供应链安全问题的相关背景,并通过对现有研究成果的调研分析,将软件供应链安全问题分为管理问题和技术问题两个方面,从这两个方面入手介绍了软件供应链安全的研究现状,然后结合研究现状总结了软件供应链安全所面临的现实挑战,并提出了未来可能的研究方向。
-
关键词
软件供应链
网络供应链
网络与信息系统安全
软件安全
供应链风险管理
-
Keywords
software supply chain
cyber supply chain
network and information system security
software security
supply chain risk management
-
分类号
TP393.0
[自动化与计算机技术—计算机应用技术]
-
-
题名国内外软件供应链安全现状分析与对策建议
被引量:3
- 8
-
-
作者
苏俐竹
徐雷
郭新海
张曼君
丁攀
-
机构
中国联通研究院
-
出处
《邮电设计技术》
2022年第9期24-26,共3页
-
文摘
近年来,全球软件供应链安全事件频发,影响面也越来越大。软件供应链安全已成为一个全球性问题。如何更全方位、更有效地保障软件供应链的安全,对于我国软件产业的发展和数字化进程的推进具有重要意义。主要分析了国内外软件供应链的安全现状,根据现状全面分析了软件供应链的安全风险,并提出了如何防范和管理。另介绍了国际软件供应链监管和标准,软件供应链管理建议,最后对软件供应链安全的发展趋势进行了分析和展望。
-
关键词
软件供应链
网络与信息系统安全
供应链风险管理
-
Keywords
software supply chain
Network and information system security
supply chain risk management
-
分类号
TN915.08
[电子电信—通信与信息系统]
-
-
题名开源软件供应链安全风险分析
被引量:13
- 9
-
-
作者
齐越
刘金芳
李宁
-
机构
中国网络安全审查技术与认证中心
-
出处
《信息安全研究》
2021年第9期790-794,共5页
-
文摘
当前,网络产品中大量应用了开源软件,开源已成为软件供应链中的重要一环,其安全性和可控性问题日渐突出.西方国家对开源组织及开源项目政策上的主导优势,对我国相应网络产品供应链安全产生了极大影响.从网络安全工作出发,结合软件开源代码成分分析结果,对开源软件供应链存在的安全风险进行了研究和分析,提出完善开源软件供应链安全管理的建议.
-
关键词
安全风险
网络安全
开源软件
供应链
网络产品
-
Keywords
security risk
cybersecurity
open source software
supply chain
network product
-
分类号
TP319
[自动化与计算机技术—计算机软件与理论]
-
-
题名开源软件供应链安全风险分析与发展建议
被引量:11
- 10
-
-
作者
苏仟
赵娆
-
机构
国家工业信息安全发展研究中心软件所
-
出处
《信息安全研究》
2022年第8期831-835,共5页
-
文摘
当前,开源已成为人类超大规模智力协同的最佳组织方式之一,也成为科技创新的“主战场”,在世界范围内迎来大发展.与此同时,开源软件也成为软件供应链攻击的成熟目标,面临着安全漏洞、知识产权、开源管制等风险.通过对开源软件供应链安全现状和风险进行分析,提出开源软件开发安全解决方案,并对开源软件供应链的发展提出建议.
-
关键词
开源
软件供应链
安全漏洞
产权风险
开源管制
安全开发方案
-
Keywords
open source
software supply chain
security vulnerability
property risk
open source regulation
security development solution
-
分类号
TP311.52
[自动化与计算机技术—计算机软件与理论]
-
-
题名NIST软件开发安全框架研究
被引量:2
- 11
-
-
作者
孙彦
姚相振
-
机构
中国电子技术标准化研究院
-
出处
《信息技术与标准化》
2022年第7期54-59,69,共7页
-
基金
国家质量基础设施体系(NQI)项目“先进计算等数字基础设施领域关键技术国际标准研究(一期)”
“先进计算等数字技术创新应用及安全保障前沿技术国际标准研究”,项目编号:2021YFF0601802。
-
文摘
为加强软件供应链安全,NIST提出软件开发安全框架,从组织准备、软件保护、安全软件研发和漏洞应对等方面总结标准和产业经验,以提升联邦政府软件供应链安全。介绍了NIST软件开发安全框架的结构和相关标准情况,对该框架与美国总统签署的14028号行政令的关系、在联邦政府内应用的方法以及对我国软件供应链安全管理工作的启示等方面进行分析。
-
关键词
软件供应链安全
软件开发
框架
标准
-
Keywords
security of software supply chain
software development
framework
standard
-
分类号
TP311.52
[自动化与计算机技术—计算机软件与理论]
-
-
题名工业软件供应链安全风险分析及对策建议
被引量:4
- 12
-
-
作者
樊佳讯
杨佳宁
-
机构
国家工业信息安全发展研究中心
-
出处
《新型工业化》
2021年第10期138-140,共3页
-
文摘
本文分析了工业软件供应链安全的重要性,结合工业软件供应链安全事件、上游漏洞、政策标准和安全技术等方面信息,明确了国内外工业软件供应链的安全现状。最后研究了国内工业软件供应链的威胁来源,并给出了相应的对策建议。
-
关键词
工业软件
供应链安全
网络攻击
-
Keywords
Industrial software
supply chain security
Network attack
-
分类号
F403
[经济管理—产业经济]
-
-
题名基于SBOM的软件安全治理实践
- 13
-
-
作者
王戈
郭新海
刘安
丁攀
蓝鑫冲
-
机构
中国联通研究院
下一代互联网宽带业务应用国家工程研究中心
-
出处
《邮电设计技术》
2023年第8期9-13,共5页
-
文摘
当今高度信息化和数字化时代,软件已经成为人们生活和工作中不可或缺的重要组成部分。随着软件产业的快速发展和安全事件频繁发生,软件自身的安全问题已经成为当下亟待解决的重大问题。针对这一挑战,越来越多的企业和组织开始关注软件安全治理,其中基于SBOM的软件安全治理方案效果显著,得到了越来越多的关注和实践。
-
关键词
SBOM
软件供应链
安全治理
开源组件
-
Keywords
SBOM
software supply chain
security governance
open-source component
-
分类号
TN915.08
[电子电信—通信与信息系统]
-
-
题名我国软件供应链安全问题分析及对策研究
被引量:2
- 14
-
-
作者
肖广娣
叶润国
焦程鹏
-
机构
中国电子技术标准化研究院
深信服科技股份有限公司
中国网络安全审查技术与认证中心
-
出处
《信息技术与标准化》
2020年第6期49-52,共4页
-
文摘
以软件供应链安全为研究对象,介绍目前我国软件供应链现状,分析软件在开发、交付、使用等各方面的安全风险,提出加强软件生命周期各环节安全保障措施的对策建议,以实现提高我国软件供应链安全的目的。
-
关键词
软件
供应链
安全
风险
漏洞
-
Keywords
software
supply chain
security
risk
vulnerability
-
分类号
TP311.5
[自动化与计算机技术—计算机软件与理论]
TP309
[自动化与计算机技术—计算机系统结构]
-
-
题名源代码检测分析技术与应用研究
被引量:1
- 15
-
-
作者
孙丽
-
机构
江苏金盾检测技术股份有限公司
-
出处
《无线互联科技》
2023年第8期158-161,共4页
-
文摘
随着近几年的实战攻防演练的强度增加以及拍打力度的增强,源代码检测技术迄今为止仍是有待解决的重要问题。不同于软件缺陷,源代码漏洞更加难以识别和修复。文章从源代码安全的必要性、软件供应链安全的安全风险和不可控风险出发,重点阐述了源代码检测的技术原理、技术难点以及目前国产源代码的技术突破,同时对“安全左移”的具体落实提出建设性意见。
-
关键词
源代码安全
网络安全
软件供应链安全
源代码检测技术
安全左移
-
Keywords
source code security
network security
software supply chain security
source code detection technology
safe left shift
-
分类号
TP399
[自动化与计算机技术—计算机应用技术]
-
