10.3969/j.issn.1674-7844.2018.11.021
软件供应链安全的风险和成因分析
由于软件应用范围不断扩大,软件安全已经不限于虚拟空间,直接威胁到物理空间的安全,而且,供应链中的任何问题都会导致严重的危害.降低软件安全风险最重要的就是技术沉淀,而技术沉淀最好的方式就是自动化工具,例如美国国防高级研究计划局(DARPA)在2016年举办的网络安全挑战赛(CGC),无任何人为干预,由机器全自动地挖掘二进制程序中的漏洞.笔者认为,这类比赛的意义远大于夺旗赛(CTF)这种证明个人实力的比赛,因为靠人的经验式挖掘永远不能普惠更多的企业和个人,而且经验的传授也不会系统完整.如何将安全分析技术落地,将知识以工具的方式用于实战,才是迫切需要的,这也是阿里软件供应链安全比赛的意义所在.那么,未来,自动化分析技术和安全知识的结合将成为一个重要方向.本文对软件供应链领域的风险和成因进行探讨,并就如何解决问题提出几点建议.
2018-12-21(万方平台首次上网日期,不代表论文的发表时间)
共3页
48-50