全球網絡安全事件頻發不斷，企業紛紛損失慘重。2021 年 11 月，知名 logo4j 漏洞波及全球多達 6 萬款開源軟件，70%以上企業受影響。2022 年 3 月，大型加油站服務商遭到勒索軟件攻擊，要求其支付 200 萬美元贖金，以換取解密器。

為此，國內推出相關法規加強網絡安全風險管控。比如今年 6 月，金融監管總局發布《關于加強第三方合作中網絡和數據安全管理的通知》，通報了多起安全風險事件。

什么導致的安全事件頻發？軟件應用愈難符合安全監管要求，這些問題多源于軟件應用生產過程存在安全風險。你可以理解為后廚的設備不衛生，制作流程不規范，會導致食品安全隱患，會被監管局查處通報。而對于軟件應用，如果生產環節沒做安全防護，遭到外界攻擊，生產出的軟件容易出安全事故，甚至因違反法規被責令下架。

華為云 CodeArts 推出軟件供應鏈安全解決方案，對軟件作業流 12 個安全威脅點加對應防護機制。

代碼檢查防止開發人員編寫不安全代碼；

代碼檢查、代碼艙人工審核、權限控制防止提交不安全代碼；

訪問控制策略、代碼艙安全性保護、安全掃描能力，防止代碼管理系統被攻陷，確保代碼可信；

通過對“構建環境”隔離封閉自動化構建過程，防止構建被惡意修改；

細粒度權限控制以規避 CI/CD 集成交付被惡意攻陷；

開源治理及軟件成分分析，確保依賴可信，杜絕錯誤依賴、依賴項被惡意投毒；

在持續集成交付中增設全封閉、自動化，構建可溯源，防止 CI/CD 被惡意繞過；

權限訪問控制、制品倉完整性保護能力，防止包管理系統被攻陷；

制品安全掃描和完整性檢查，以杜絕版本發布時使用到錯誤包；

權限訪問控制、自動化部署，防止部署過程被篡改；

在部署過程驗證部署包的完整性，防止部署內容篡改或不合規；

運行態的漏洞檢查及漏洞阻斷能力，防止運行態漏洞利用。

12 大安全防護點為軟件生產作業全面護航，支撐了快速響應 log4j 漏洞，24 小時內感知漏洞，48 小時完成所有關聯產品追溯驗證，共追溯受影響產品 179 個。華為云 CodeArts 供應鏈安全解決方案端到端的全面防護，通過保障生產出“安全的軟件”，降低企業應用安全事故風險，協助企業應用順利通過等保合規檢測。

審核編輯 黃宇