Les incidents de cybersécurité se produisent fréquemment dans le monde, entraînant de lourdes pertes pour les entreprises. En novembre 2021, la célèbre vulnérabilité logo4j affectait pas moins de 60 000 logiciels open source dans le monde, touchant plus de 70 % des entreprises. En mars 2022, un grand fournisseur de services de station-service a été attaqué par un ransomware, l'obligeant à payer une rançon de 2 millions de dollars en échange d'un décrypteur.
À cette fin, des réglementations nationales pertinentes ont été introduites pour renforcer la gestion et le contrôle des risques liés à la sécurité des réseaux. Par exemple, en juin 2023, l'Administration d'État de surveillance financière a publié l'« Avis sur le renforcement de la gestion de la sécurité des réseaux et des données dans le cadre de la coopération avec des tiers » et a signalé plusieurs incidents de risque de sécurité.
Quelles sont les causes des incidents de sécurité fréquents ? Il devient de plus en plus difficile pour les applications logicielles de se conformer aux exigences réglementaires en matière de sécurité. La plupart de ces problèmes proviennent des risques de sécurité présents dans le processus de production des applications logicielles. Vous pouvez comprendre que l'équipement de la cuisine n'est pas hygiénique et que le processus de production n'est pas standardisé, ce qui entraînera des risques pour la sécurité alimentaire et fera l'objet d'une enquête et d'un rapport par le bureau de réglementation. En ce qui concerne les applications logicielles, s'il n'y a aucune protection de sécurité dans le processus de production et s'il est attaqué par des parties externes, le logiciel produit est sujet à des incidents de sécurité et peut même faire l'objet d'une ordonnance de retrait des étagères pour violation de la réglementation.
Huawei Cloud CodeArts a lancé une solution de sécurité de la chaîne d'approvisionnement logicielle qui ajoute des mécanismes de protection correspondants à 12 points de menace de sécurité dans le flux de travail logiciel.
- Les inspections de code empêchent les développeurs d'écrire du code dangereux ;
- L'inspection du code, la révision du manuel du code de la cabine et le contrôle des autorisations empêchent la soumission de codes dangereux ;
- Les politiques de contrôle d'accès, la protection de sécurité de la cabine par code et les capacités d'analyse de sécurité empêchent la compromission du système de gestion de code et garantissent que le code est digne de confiance ;
- Empêcher la construction d'être modifiée de manière malveillante en isolant et en scellant le processus de construction automatisé de « l'environnement de construction » ;
- Contrôle précis des autorisations pour éviter que la livraison intégrée CI/CD ne soit compromise de manière malveillante ;
- La gouvernance open source et l'analyse des composants logiciels garantissent des dépendances fiables et empêchent les dépendances erronées et les dépendances d'être empoisonnées de manière malveillante ;
- Ajoutez une fermeture et une automatisation complètes à la fourniture d'intégration continue, créez une traçabilité et empêchez le contournement malveillant de CI/CD ;
- Les capacités de contrôle d'accès aux autorisations et de protection de l'intégrité de l'entrepôt de produits empêchent la compromission du système de gestion des colis ;
- Analyse de sécurité du produit et vérification de l'intégrité pour empêcher l'utilisation de packages incorrects lors de la publication de la version ;
- Le contrôle d'accès aux autorisations et le déploiement automatisé empêchent la falsification du processus de déploiement ;
- Vérifier l'intégrité du package de déploiement pendant le processus de déploiement pour éviter toute falsification ou non-conformité du contenu du déploiement ;
- Les capacités de vérification et de blocage des vulnérabilités dans l'état d'exécution empêchent l'exploitation des vulnérabilités dans l'état d'exécution.
12 points de protection de sécurité majeurs protègent de manière complète les opérations de production de logiciels, prenant en charge une réponse rapide aux vulnérabilités log4j, détectant les vulnérabilités dans les 24 heures, effectuant la vérification de la traçabilité de tous les produits associés dans les 48 heures et traçant un total de 179 produits concernés. La solution de sécurité de la chaîne d'approvisionnement Huawei Cloud CodeArts offre une protection complète de bout en bout, garantissant la production de « logiciels sécurisés », réduisant le risque d'incidents de sécurité des applications d'entreprise et aidant les applications d'entreprise à passer avec succès l'inspection de conformité en matière de protection.
Essayez CodeArts gratuitement : https://www.huaweicloud.com/devcloud/
Cliquez pour suivre et découvrir les nouvelles technologies de Huawei Cloud dès que possible~
Les ressources piratées de "Qing Yu Nian 2" ont été téléchargées sur npm, obligeant npmmirror à suspendre le service unpkg. Zhou Hongyi : Il ne reste plus beaucoup de temps à Google. Je suggère que tous les produits soient open source. time.sleep(6) joue ici un rôle. Linus est le plus actif dans la « consommation de nourriture pour chiens » ! Le nouvel iPad Pro utilise 12 Go de puces mémoire, mais prétend disposer de 8 Go de mémoire. Le People's Daily Online examine la charge de type matriochka des logiciels de bureau : Ce n'est qu'en résolvant activement « l'ensemble » que nous pourrons avoir un avenir avec Flutter 3.22 et Dart 3.4 . nouveau paradigme de développement pour Vue3, sans avoir besoin de « ref/reactive », pas besoin de « ref.value » Publication du manuel chinois MySQL 8.4 LTS : vous aider à maîtriser le nouveau domaine de la gestion de bases de données Tongyi Qianwen niveau GPT-4 prix du modèle principal réduit de 97%, 1 yuan et 2 millions de jetons