��������近日,工信部直屬的中國軟件評測中心公布了首批通過軟件供應鏈安全能力評估的產品。其中,阿里云飛天企業版憑借在高透明度和有效依賴管理、內置安全能力等方面的優勢,獲評安全能力最高等級。
���������本次測評以《網絡安全技術軟件供應鏈安全要求》和《軟件供應鏈安全能力評估規范》為評估依據。《網絡安全技術軟件供應鏈安全要求》由中國信息安全測評中心起草,目前已正式發布。依據國家標準,中國軟件評測中心組織制定《軟件供應鏈安全能力評估規范》,幫助企業持續完善軟件供應鏈安全管理能力,阿里云參與了上述兩項標準的制定。以上規范的制定填補了我國在軟件供應鏈安全方面國家標準的空白,推動了標準化工作的實施,完善了信息技術標準規范體系。
在此次評測中,飛天企業版展現了以下幾大優勢:
高透明度和有效依賴管理
�����依托于阿里云 CI/CD 流水線,在流水線中集成軟件成分分析工具,自動化生成和持續更新軟件 SBOM 清單,建立全面、多層次的依賴圖譜。
內置安全能力
������實現百余款云產品源代碼提交觸發流水線自動化安全掃描,在代碼提交、測試和集成等環節嵌入靜態代碼掃描、黑盒漏洞掃描、組件漏洞掃描、鏡像安全掃描、容器安全掃描等安全工具鏈。從治理到驗證全流程,實現安全問題早發現、早解決。
源端管控開源合規
�������對于引入的開源組件遵循安全合規和業務必要原則,對開發過程中使用的開源組件引入進行嚴格管控,以內部安全合規組件庫為依托實現“嚴進嚴出”,采取白名單管控思路,確保云產品引入的組件來源于安全合規組件庫。
持續監測組件停服
����使用情報工具持續收集、監控第三方組件的斷供風險,通過關聯SBOM快速定位可能受影響的組件,基于過往應對斷供風險制定應急響應計劃,強化應對供應鏈中斷事件的組織級響應能力。
�����飛天企業版(ApsaraStack)是阿里云基于阿里云飛天云計算操作系統,為政企客戶專屬構建的資源和云管完全獨立的企業級云平臺。飛天企業版與阿里云公共云同根同源,采用同一套技術架構,為客戶提供一致體驗。自2014年起,飛天企業版已服務超1000家大型政企客戶,深耕金融、政務、能源、電力、交通等多個行業。
����“我們堅信強有力的軟件供應鏈安全管理能力是與客戶、合作伙伴建立深度合作的基礎。未來,我們將在安全能力上持續投入,為政企客戶提供更加穩定可靠、安全易用的云基礎設施。”阿里巴巴研究員、阿里云政企事業部專有云總經理劉國華表示。
�������作為國際領先的云安全解決方案提供方,阿里云擁有零信任SASE、數據安全、流量安全等8大安全域百余項核心能力。據公開資料,2023年,在Forrester《基礎設施即服務平臺原生安全Wave》報告中,阿里云安全獲國內第一;2022年,國際知名咨詢機構對全球云廠商解決方案能力評估中,阿里云的安全能力第一;2020 年,阿里云成為整體安全能力獲國際三大機構(Gartner/Forrester/IDC)認可的國內唯一一家云廠商。
咨詢熱線:
