专访悬镜安全子芽:守护中国软件供应链安全

阅读量5865

发布时间 : 2022-09-09 16:07:52

 

随着我国经济增长及技术水平提升,智慧城市市场规模益扩。同时,能源变革与数字孪生正驱动智慧城市的绿色建设。城市供热是一项重要的基础服务保障系统,供热水平是衡量民生质量的重要指标,智慧供热则是实现智慧城市建设的重要环节。

 

那么,什么是智慧供热?双碳背景下供热该如何发展?智慧供热未来的发展前景如何?带着这些问题,我们采访到了智慧供热领先企业北京华热科技发展有限公司就智慧供热话题展开讨论。

 

智慧城市高速发展,智慧供热作为实现“智慧城市”建设中极其重要的一个环节,是如何发展的?

 

华热科技:智慧供热是双碳背景下的大势所趋,首先是基于信息基础设施的,使用大数据、人工智能、云计算、互联网等技术。具体来讲,可通过对供热相关数据采集及分析,对热源、热网、末端的各个供热环节进行智能调控,然后进一步实现热网资源的配置优化,提高热网输送的能力。

 

其次,智慧供热中,很重要的一部分改造是面对工控网络安全的。目前已开展了以“无安全何智慧”为目标的工控网络安全防护的建设。

 

此外,城市级供热管网的能源互联与服务互联是大趋势,通过大数据展示供热企业对能源的管理和利用能力,接受政府和热用户的监督,也是智慧供热发展的必由之路。

 

当然,智慧供热的发展过程中,也面临着一些挑战:从热力公司的集中供热源,到各个换热站,再到用户端的千家万户,整个供热链路上存在多个独立分散的IT系统,可能无法快速的做到数据的互联互通。本地部署的传统管控软件性能还有待提高。供暖需要更多的专业IT人才,尤其是精通云计算、物联网、人工智能等新技术的人才。随着物联网技术和智慧供热的发展,供热管网中海量设备逐渐联网上云后,高效且智能的管理将成为今后面临的重大挑战。

 

 

双碳目标背景下如何建设智慧供热?

 

华热科技:当今全球的采暖服务行业中,中国是最大的集中供热应用国家。在碳达峰、碳中和的“双碳”战略目标下,建设智慧供热就是要全方位的进行环保节能。

 

这个全方位要在信息管理等技术的引导下,实现数据共享乃至资源共享,信息系统与供热系统的深度耦合,将传统的供热系统赋予神经和大脑,使其具有感知能力和自我诊断能力,以及对外界变化产生适应性变化的能力。无论采用新的节能装置、应用信息化先进技术、还是利用清洁能源,都要从各方面各层次提高效率和降低转化成本。

 

智慧供热系统具有可监测、可调节、可计量、可预测的特征,今后要能够实现系统的绿色、安全、经济、高效运行。总之,智慧供热要从智能调度、智能调节、智能控制、智能诊断、智能维护、智能管理等各方面进行建设。

 

 

智慧供热未来前景如何?华热科技有什么新的建设布局?

 

华热科技:供热市场有多大智慧供热的市场就有多大。目前我国不仅北方有集中供热,很多南方城市也都提出了集中供热或者分布式供热的需求。城市级供热管网的能源互联与服务互联是大趋势,通过众多面向不同分类的平台系统展示供热企业对能源的管理和高效利用的能力,接受政府和热用户的监督,提升供热服务水平,是行业良性发展的必由之路。

 

而且,随着我国工业化城镇化进程加快,我国能源需求呈刚性增长,资源环境问题仍是制约我国社会经济发展的瓶颈之一,节能减排形势严峻、任务艰巨。相关部门也明确表示供热企业要加快发展提升信息化水平和供热服务水平,安全绿色节能高效供暖的精细化管理需求,可以推动整个供热产业智能化升级,实现产业良性发展和可持续发展。同时,物联网技术和大数据、云计算等一些新兴产业技术的运用,也为供热产业智慧化发展注入了新的动力。

 

华热科技从前期的几个示范应用项目,如基于按需供暖的全过程全成本调控优化、独网锅炉房供热节能控制等,已经验证了在智慧供热改造中的科研能力。未来,会根据项目成果转化为实际的建设内容,合理的规划并实施在多个换热站或锅炉房进行智慧供热的改造,同样也包括对工控安全防护装置的应用。从逐渐对各区域范围内进行示范,到形成一定的规模。在解决了遇到的问题后,会在全市所有智慧供热的范围内进行全面推广。数字时代,软件已进入大众日常生活的方方面面。软件研发需求不断攀升,软件开发量也呈几何基数增长。开源代码的使用大幅度提高了软件研发效率、降低开发成本。但也为软件带来巨大的安全风险。如何应对开源生态下越发严峻的安全威胁是每个网络安全企业的责任与挑战。

 

日前,我们采访了专注于软件源代码信息安全业务的高新技术企业北京酷德啄木鸟信息技术有限公司,就数字时代软件源代码信息安全展开探讨。

 

实现软件源代码信息安全,酷德啄木鸟做了哪些努力?

 

酷德啄木鸟:如今,国内的安全领域处于高速增长阶段,而过去源代码检测市场都是国外的产品,像美国,以色列等,酷德啄木鸟是国内首批关注并实践代码安全的厂商,国内传统安全都是在软件上线之后才开始做,没有从源头和代码最底层解决问题,而源代码检测是最好的解决方案。

 

作为国内首批代码安全厂商, 酷德啄木鸟产品功能是在软件开发阶段,通过静态检测技术,提早发现软件代码缺陷,提早把漏洞弥补掉,这样就能帮助有软件开发需求的企业把安全做得更主动,更全面、更低风险。

 

 

数字技术高速发展,软件源代码信息安全领域该如何应对复杂的安全威胁和升级的安全挑战?

 

酷德啄木鸟:数字环境下,诸多企业把消除“孤岛”作为业务功能晋级的重点目标,打破壁垒成为企业中各部门衔接乃至外部衔接的重要举措,这当中辅助实现的新功能开发需求也在不断攀升,随之而来的安全隐患顺势而曾。

 

除此之外,我们发现近两年开发安全需求不仅存在于国有单位,有向民营企业下沉趋势,也是国内网络安全普及的成果。在波谲云诡的世界经济环境之下,网络安全问题层出不穷,软件源代码信息安全就像软件的“基建”,关乎企业业务运作安全,是企业数字化之路的基本条件。

 

Gartner 报告曾指出,在当前 DevOps 之类的开发模式下,应用程序中大部分代码是被“组装”而不是“开发”出来的。据其统计,超过 95% 的组织在业务关键 IT 系统中都主动或被动地使用了重要的开源软件(OSS)资产;开源安全性不容乐观,它已成为软件供应链安全问题增长的重要因素。

 

近些年我国已出台了一系列针对软件供应链安全的法规和标准,但包括风险的发现、分析、处置、防护等能力在内的软件供应链安全管理水平仍有待继续提升。

 

从政策层面来看,建立国家级/行业级软件供应链安全风险分析平台,健全标准,具备系统化、规模化的软件源代码缺陷和后门分析、软件漏洞分析、开源软件成分及风险分析等能力,及时发现和处置软件供应链安全风险。

 

从软件厂商来看,建议软件厂商尽早搭建软件安全开发平台,提高安全意识,注重安全人才培养。严格管上下游供应链开源软件或代码的使用,将有效控制代码生产环境下的风险,酷德啄木鸟软件成分分析系统——“析微”可有效帮助企业实现软件研发供应链安全管理,帮助开发人员在整合第三方软件时,处理潜在的安全问题。系统通过分析应用软件包中的成分,包括软件来源、授权许可方式、版本号等信息,并对比漏洞库,判断检测包是否包含已知漏洞。帮助用户掌握开源软件资产信息,及时获取开源软件漏洞情报,降低由开源软件带来的安全风险,保障企业交付更安全的软件。

 

 

酷德啄木鸟未来的战略方向?

 

酷德啄木鸟:酷德啄木鸟未来仍坚持开发安全以及软件供应链安全方向,不断扩充产品线以及提升技术能力。例如,我们开发的CodePecker源代码存储系统(简称“慧存”)可以和公司的白盒以及SCA产品组合成一套针对软件外包开发的供应链安全解决方案。针对软件主要外包开发的客户实现从代码存储、版本管理,代码安全以及开源安全的全套解决方案。酷德将始终坚持以创新能力带动技术升级,注重安全领域人才培养,切实关注市场和政策动向以及当下用户痛点。致力利用安全领域高精尖技术,打造专业、小而美的技术成熟型企业。未来,酷德啄木鸟将投身数字经济环境,参与和见证国内安全事业崛起,与众多安全厂商合作共赢筑建中国网络安全“防火墙”。数字经济的承载平台是信息技术,而信息技术的核心底座正是基础软件,尤其是操作系统。伴随基础软件的大规模应用,安全的重要性越来越高,需要处于整个生态系统中的企业一起来保障。

 

日前,我们采访了国内领先的操作系统厂商统信软件技术有限公司总经理刘闻欢,就当前国产基础软件和操作系统发展情况展开讨论。

 

国产基础软件近几年有什么变化?面临什么困难?如何破局?

 

刘闻欢:国产基础软件发展正当时,进入黄金发展期:由于历史因素,长期以来,中国基础软件(操作系统、数据库、中间件等)市场基本处于被外资垄断的局面。但近年来,在国家政策推动下,国产基础软件成长得非常快,无论是在产品质量、用户规模和市场份额上走呈现出快速增长之势。

 

在十四五时期,国家继续对基础软件提供了更加有力的支持,出台了众多支持政策,对基础软件等关键技术提供了包括资金、政策、市场在内的各类支持,国产基础软件也开始越来越多在关键行业得到应用。

 

生态难题亟待解决:发展基础软件最重要是建设生态。但目前国产基础软件在生态上与国外还有一定的差距,这也直接降低了国内用户迁移和使用国内基础软件的接受度,或者说增加了国产基础软件普及的难度。

 

生态建设不是一蹴而就的,建设基础软件生态不仅需要国家政策的支持,还需要汇集业界各方的优势力量,并且持续的迭代优化,进而促进产业发展。

 

市场与人才同发力:突破生态瓶颈,需要从市场、人才两个方面同时推进。在市场端,要支持和鼓励政企客户采用国产软件产品,对关键行业的推进方式进行规划。同时也采用市场化原则,积极推动国产基础软件产生参与市场化竞争,以产品说话,用产品赢得市场。从而进一步激发企业产品创新和生态构建活力,实现产品创新到市场推动的正向商业循环。

 

在人才端,要加强中小学、高校学习和应用国产基础软件的推广力度。国产基础软件应用和推广从娃娃抓起,培养国产基础软件的使用习惯;在高校推广国产基础软的应用与开发课程,未来给国产基础软件提供更多的人才基础。

 

 

统信作为中国最大的操作系统公司之一,如何看待国产操作系统的发展?

 

刘闻欢:国产操作系统的发展经历了由无到有、由小到大、由弱到强的几个阶段。目前国内操作系统产业无论从人才规模、产业链和市场上,都有了巨大的变化。国产操作系统在产品性能、稳定性和生态成熟度等方面正在追赶国外产品,在产品安全能力和使用体验方面和国外产品相比也有所创新。

 

统信软件的前身深度科技,是中国最早以开源社区方式运行的操作系统公司之一。自2015年推出deepinV15版本以后,深度科技凭借出色的产品能力和国家政策的推动,在党政、金融领域发展迅速,成为操作系统市场中杀出的一匹黑马。在深度操作系统成立的十余年间,共支持全球33种语言,累计下载量超过8000万次,拥有遍及6大洲42个国家的135个镜像站点,在国际Linux发行版排行榜中稳居前十,全球用户超过100万,成为最受全球用户喜爱的中国操作系统。

 

2019年,随着国家对基础软件的重视,深度科技迎来了很好的发展机会。但在市场上,中国的基础软件公司依然处于“边缘”地位,国内操作系统企业企业普遍“小、散、弱”,配套软硬件生态分散,无法形成合力,出现了“芯烦魂乱”的问题。因此,也就是在这一时期,深度科技在引入了更多外部资源之后,统信软件应时成立。

 

统信软件自成立就以“打造操作系统创新生态,给世界更好的选择”为己任,致力于解决我国操作系统发展受制于人的问题。目前,统信操作系统已经超过300万发货量,是国内首个突破50万生态适配规模的操作系统厂商,在金融、政务、运营商、教育、电力、能源、交通等行业开始得到广泛应用。统信软件从人员、生态和市场份额上看,都已经是中国最大的操作系统公司之一。

 

 

未来,统信有什么战略布局?

 

刘闻欢:除了生态建设,技术自主发展能力也是未来国产操作系统发展的关键所在。今年5月,统信软件正式发布了打造面向世界、中国主导的桌面根社区(deepin),成为国内首个提出打造桌面操作系统根社区的操作系统厂商,将着力打造根技术、根系统和根社区,从“根”上保障开源操作系统供应链安全。

 

统信下一代操作系统将是基于新的根社区所开发的版本。它的整个的架构会有较大的创新,更适合用于普通用户或者桌面用户,办公用户的应用环境。我们希望新一代的产品能够从体验、安全、性能、生态等多个方面,达到国际主流产品水平。

当前,针对软件供应链的攻击事件呈快速增长态势,已成为网络空间安全的焦点,影响着数字经济的发展。如何将安全嵌入到软件开发到运营的全流程,实现防护技术的自动化、一体化、智能化,是行业关注的热点。

 

日前,我们采访了DevSecOps敏捷安全领导者和软件供应链安全领域领军企业北京安普诺信息技术有限公司(悬镜安全),就软件供应链安全展开讨论。

 

软件供应链安全行业发展现状?未来发展趋势是什么?

 

子芽:现代软件基本是组装的而非纯自研,软件成分从闭源发展为开源主导,并且云原生时代数字化应用架构由单体向微服务进化、软件开发模式由传统瀑布式开发向DevOps敏态开发模式进化、应用运行环境由传统IT服务器向容器进化,这些正导致软件供应链越来越趋于复杂化和多样化,安全风险日益增加。

 

欧盟数据显示,软件供应链攻击数量大幅增加。从2014年心脏滴血这一开源软件漏洞的爆发,到2015年Xcode开发工具被污染,一直到2021年末Log4j2.x开源框架漏洞的爆发,在此之间还有诸如厂商预留后门、升级劫持、恶意程序等不同类型的软件供应链攻击事件发生,分析总结可知整个软件供应链的主要安全风险集中在上游的软件开发环节、中间的软件供应环节和下游的软件使用环节。

 

然而大部分企业往往忽视软件供应链安全工作,有报告指出,大约45%的企业承认其软件供应链安全工作只完成了一半;同时假设受访企业的软件供应链受到攻击,64%的高管并不知道应第一时间求助于谁。

 

当然也能欣喜地看到,目前国内外正陆续出台一系列相关政策和重点项目来加强软件供应链的安全管控。国外的Google于2021年提出软件供应链安全框架SLSA(Supply chain Levels for Software Aritifact,软件构件的供应链级别)。该解决方案旨在确保软件开发和部署过程的安全性,专注于减轻由于篡改源代码、构建平台或中间件仓库而产生的威胁。为解决云上的软件供应链安全问题,微软提出了云安全共享责任模型。Google联合包话Red Hat、IBM在内的多家企业共同发布了开源计划Grafeas,提供了一种统一的方式来审计和管理软件供应链。

 

国内,据悉,中国信通院正在稳步推进软件供应链安全系列标准体系架构的建设工作。悬镜基于自身多年的敏捷安全落地实践经验和软件供应链安全研究成果,并通过精准的市场调研和敏锐的行业洞察,认为“安全左移”从源头进行软件供应链风险治理以及“敏捷右移”实现安全运营敏捷化是云原生场景下软件供应链安全两大需求,因而悬镜原创专利级代码疫苗技术和BAS持续威胁模拟与安全度量是未来软件供应链安全技术发展的两大趋势。

 

 

作为DevSecOps领导者,悬镜发展过程中遇到过哪些困难,又是如何应对的?

 

子芽:悬镜安全自2014年成立于北大未名湖畔,至今已走过8个年头,作为DevSecOps敏捷安全领导者和软件供应链安全领域的领军企业,很荣幸获得全球领先的红杉资本、腾讯产业投资、源码资本、GGV纪源资本的青睐,目前融资规模累计达数十亿。

 

但,这一路并不是一帆风顺,也曾经面临产品规模化、渠道推广、销售等难题。由于自身理念问题,学院派出身的我们太专注于技术钻研和产品打磨,总希望将产品性能提升到极致,而在此之前迟迟不敢把产品进行规模化应用。初期,我们甚至会将在攻防演练等网络安全服务中获得的收益,全部投入技术研究和应用当中。在做学术研究的时候,往往更专注于技术的本身,不太会关注未来的商业化。因此,当决定开始创业的时候,就需要去转变思维,除了要用心、花时间去打磨技术及产品外,还要有配套的商业模式,这也要求创业者迈过自我认知的门槛,完成从学生到创业者的身份转变。

 

幸运的是,基于对所处DevSecOps领域的高度聚焦,出于对技术和事业的深度热爱,凭借团队所有成员的坚持与执着,悬镜度过了那段最艰难的岁月。悬镜安全围绕四个“一”的核心能力建立起行业领先优势,分别是一个运行时单探针、一项代码疫苗技术、一套积极防御框架、一套敏捷安全体系。要感谢那段时光,使我们的产品一经投入市场就凭借超过同类产品的出色性能,获得了金融、泛互联网等一众行业头部用户的高度认可和大力支持。

 

流水不争先,争的是滔滔不绝。创业如此,生活亦是如此。

 

 

一直以来,悬镜在关键应用安全技术坚持创新,如何看待安全领域的自主研发?

 

子芽:不止在安全领域,我始终认为硬科技的发展是社会进步的核心驱动力之一。我仍记得在北大研究生求学期间,导师对我们的要求:如果把人类现有的认知比作一个圈,那么当博士毕业时,我们的研究实践成果至少可以将现有认知向外再踏出一步。这个要求至今对我和悬镜团队都有着巨大的影响,并促使我们始终致力于在DevSecOps这个新的前沿技术领域,凭借长期的技术积累来推动中国的安全产业向新的未知空间做更深层次的探索。

 

在全球的DevSecOps敏捷安全赛道上,主要是中外技术路线之间的竞争。在国际上悬镜安全有很多创新的同行企业,比如美国的Synopsys、Contrast,以色列的Checkmarx,以及RSAC 2021创新沙盒总冠军Apiiro等,他们都是敏捷安全领域的技术佼佼者。悬镜与他们的不同之处在于采取了一种“先打牢地基后盖楼”的技术路线,在高检出率和极致兼容的要求下,以智能算法辅助人工专家筛查的方式,把每一类插桩的情境训练知识、语言知识及场景适配策略当做库来支持,小到每一条规则都经过反复研究和设计。这条路难走,但所幸经历多年的沉淀,我们取得了一系列的成果,原创发明了基于运行时单探针的代码疫苗技术和积极防御框架,体系化梳理了DevSecOps敏捷安全,首创“DevSecOps智适应威胁管理体系”并演进至第三代。这些成果都被整理在我刚出版的新书《DevSecOps敏捷安全》中,也是希望借此实现技术的普惠化。

 

而且在我看来,无论是从国家还是从行业的角度,关键核心技术都不能受制于人,安全从来都是有国界的。中国在几千年的华夏文明里,沉淀出了自己的经济和工业发展体系,与世界经济体系既深度融合又自成体系。悬镜也一直努力以创新的技术驱动方案和产品更深地跟随国家整体战略,更好地走向世界,在今天的DevSecOps软件供应链安全赛道上,能为国发声,输出中国自己的技术标准,守护好中国软件供应链安全。

本文由360数字安全原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/278844

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
360数字安全
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66