左移开发安全智慧运营安全云原生安全解决方案服务与支持信创默安智库

实力上榜|默安科技入选2024年度电力行业开源典型实践案例集

2024-11-29

近日,中国电力发展促进会正式发布《2024年度电力行业开源典型实践案例集》,默安科技应用于某省级电力企业的“某电网供应链开源软件风险检测系统建设”项目,经过组委专家的联合审定成功入选。


本次评选活动是由中国电力发展促进会联合中国信息通信研究院共同组织,根据“十四五”规划纲要和近期党中央、国务院有关开源工作的重要部署开展的电力行业开源实践案例征集工作。旨在推选出一批具有较高技术水平、较强代表性、示范性、创新性和可推广性的电力行业开源治理应用实践,为电力行业企业提供开源治理工作的参考和借鉴。


案例背景

当前国内电网软件应用开发以自研为主,结合外包支撑的联合开发模式予以实现。此模式下的软件架构安全及软件依赖的基础IT设施安全缺乏实际掌控力,对软件开发商开发过程及交付制品缺乏有效的技术量化指标和安全评价标准,导致交付的软件产品存在安全隐患。而传统的代码审计、渗透测试、风险评估手段很难发现深层次的物料清单依赖关系导致的安全风险。


本次项目建设为健全和完善该电力企业软件供应链风险评价体系提供技术支撑和制度保障。在软件开发环节,针对软件开发商提出具体的软件供应链风险管控安全措施及要求,以及可量化的考核指标;在交付环节,通过相应的检测工具进行安全检查,从代码开发源头和上线环节加强软件供应链风险管控,弥补当前该企业软件供应链风险监管的短板和不足。


开源治理解决方案

本项目依托默安科技自主研发的雳鉴-软件供应链风险评估平台中的开源软件风险检测分析、软件供应链知识图谱和供应商管理评估等能力,大幅提升开源组件漏洞、应用漏洞、许可证风险等检测评估能力,提升软件资产透明度,加快组件漏洞事件应急响应效率,提升软件代码和组件自主可控风险预判评估水平。通过汇集存量及增量系统源代码、部署包等软件核心资产,梳理形成企业软件组件清单库,深度识别组件和代码层面的安全风险,建立健全该企业的整体软件供应链安全治理能力,为新型电力系统建设提供更加坚实的技术和制度保障。


图  雳鉴-软件供应链风险评估平台架构图


治理成效

提升上线前漏洞风险检出能力,降低漏洞修复成本。

系统在原有渗透测试的基础上,增加软件成分检测、灰盒插桩测试、漏洞代码函数检测等技术手段,精准定位组件漏洞版本和应用漏洞代码细节,提升漏洞风险检出效果和修复效率。


绘制软件供应链知识图谱,透视软件内部成分。

基于融合分析引擎和图数据库交互技术,可视化展现软件系统内部透视信息,直观了解软件组件、许可证、API接口、服务依赖、漏洞风险、三方云服务、网络地址、供应商等供应链信息,形成了不同场景下的供应链条件检索分析视图。


构建存量软件组件清单库,提速漏洞事件应急。

全面梳理该企业软件组件及依赖清单,定位关键业务功能组件和高频使用组件,利用不同软件组件的依赖关系,结合组件版本信息,可以在高危漏洞应急响应中快速识别受影响的其他组件,确定漏洞影响面,高效完成漏洞事件应急。


评估软件自主可控水平,预判供应链中断风险。

开展软件自主可控率分析,通过代码同源性分析和组件自主可控分析,了解开源组件的社区来源、开发维护和使用的自主性和可控性,计算软件自研代码占比,综合评估软件自主可控水平,为该电力企业研究下一步国产化替代路径提供参考依据。


引领电力行业开源治理

本次默安科技建设的该电力企业供应链开源软件风险检测系统,创新且有效地承接了企业所属电网集团的信息系统并网管理工作要求,实现该企业软件供应链风险评价技术指标零的突破,提升针对软件供应链攻击风险的防护能力,支撑电力行业关基系统的软件供应链风险评估工作。同时,本次项目建立了电力行业首套软件物料清单模型,为建立基于软件物料清单的行业软件代码风险全景视图、开展行业软件代码风险管理和情报共享奠定技术底座。


本次案例的入选,是对于默安科技软件供应链安全服务能力的再次认可。未来,作为软件供应链安全领域的头部厂商,默安科技将持续发挥技术创新优势,推动软件供应链安全在各行业的实践落地,为数字经济高质量发展贡献更多安全力量。


咨询反馈
0571-57890068
market@moresec.cn