近日,工信部直属的中国软件评测中心公布了首批通过软件供应链安全能力评估的产品。其中,阿里云飞天企业版凭借在高透明度和有效依赖管理、内置安全能力等方面的优势,获评安全能力最高等级。
本次测评以《网络安全技术软件供应链安全要求》和《软件供应链安全能力评估规范》为评估依据。《网络安全技术软件供应链安全要求》由中国信息安全测评中心起草,目前已正式发布。依据国家标准,中国软件评测中心组织制定《软件供应链安全能力评估规范》,帮助企业持续完善软件供应链安全管理能力,阿里云参与了上述两项标准的制定。以上规范的制定填补了我国在软件供应链安全方面国家标准的空白,推动了标准化工作的实施,完善了信息技术标准规范体系。
在此次评测中,飞天企业版展现了以下几大优势:
高透明度和有效依赖管理
依托于阿里云 CI/CD 流水线,在流水线中集成软件成分分析工具,自动化生成和持续更新软件 SBOM 清单,建立全面、多层次的依赖图谱。
内置安全能力
实现百余款云产品源代码提交触发流水线自动化安全扫描,在代码提交、测试和集成等环节嵌入静态代码扫描、黑盒漏洞扫描、组件漏洞扫描、镜像安全扫描、容器安全扫描等安全工具链。从治理到验证全流程,实现安全问题早发现、早解决。
源端管控开源合规
对于引入的开源组件遵循安全合规和业务必要原则,对开发过程中使用的开源组件引入进行严格管控,以内部安全合规组件库为依托实现“严进严出”,采取白名单管控思路,确保云产品引入的组件来源于安全合规组件库。
持续监测组件停服
使用情报工具持续收集、监控第三方组件的断供风险,通过关联SBOM快速定位可能受影响的组件,基于过往应对断供风险制定应急响应计划,强化应对供应链中断事件的组织级响应能力。
飞天企业版(ApsaraStack)是阿里云基于阿里云飞天云计算操作系统,为政企客户专属构建的资源和云管完全独立的企业级云平台。飞天企业版与阿里云公共云同根同源,采用同一套技术架构,为客户提供一致体验。自2014年起,飞天企业版已服务超1000家大型政企客户,深耕金融、政务、能源、电力、交通等多个行业。
“我们坚信强有力的软件供应链安全管理能力是与客户、合作伙伴建立深度合作的基础。未来,我们将在安全能力上持续投入,为政企客户提供更加稳定可靠、安全易用的云基础设施。”阿里巴巴研究员、阿里云政企事业部专有云总经理刘国华表示。
作为国际领先的云安全解决方案提供方,阿里云拥有零信任SASE、数据安全、流量安全等8大安全域百余项核心能力。据公开资料,2023年,在Forrester《基础设施即服务平台原生安全Wave》报告中,阿里云安全获国内第一;2022年,国际知名咨询机构对全球云厂商解决方案能力评估中,阿里云的安全能力第一;2020 年,阿里云成为整体安全能力获国际三大机构(Gartner/Forrester/IDC)认可的国内唯一一家云厂商。