以供应链视角重新定义企业软件安全
ESSF 企业软件安全治理框架
帮助全球企业构建一套 可持续可量化管理 的软件安全治理体系框架,基于这个框架企业可以 清晰界定软件安全边界、 高效量化评估企业软件安全水位, 从而帮助企业轻松应对当前 AI 时代日益复杂的软件安全威胁和挑战。ESSF 目前包含 企业软件成分分类(ESCT) 及 企业软件成分威胁分类(ESTT) 两个重要组成部分。
企业软件安全面临的三大核心问题
面对日益复杂的软件构成,我们如何清晰界定企业软件安全边界?
现代软件不再是孤立的代码,而是由各种各样的软件供应链成分组装而成,开源组件、容器镜像、基础设施代码等等。这些成分来源各异,关系复杂,传统安全边界的概念已难以适用。我们需要一种新的视角,能够穿透迷雾,清晰地识别和管理构成软件的各种供应链成分,才能真正划定企业各个业务所依赖的软件安全的新边界。企业的每一个业务就像一辆车,我们首先必须搞清楚这辆车依赖了多少个零件(软件供应链成分),每一个零件有什么样的潜在安全威胁(软件成分对应的威胁场景),然后安全治理的目标就是要保障这辆车依赖的每一个零件的安全。
面对层出不穷的安全威胁,我们如何量化评估企业业务软件安全水位?
漏洞扫描、渗透测试,这些传统的安全评估手段仍然重要,但在软件供应链纵深复杂的今天,安全威胁类型也变得更加多样化和隐蔽。 供应链投毒、依赖混淆... 我们需要一套更全面的评估体系,首先要梳理清楚企业业务生成及办公涉及的所有软件资产,然后要清晰的评估每一类软件资产对应的所有安全威胁场景, 基于软件资产全集及对应威胁全集才能真正衡量企业业务软件的安全风险全集及量化评估当前建设水平,基于量化的风险和安全能力水平管理才能说服企业管理者获取合理资源推进安全水平的提升和风险的收敛。
面对不断演进的安全挑战,如何构建一套真正有效、可持续的软件安全治理体系?
明确了边界,且能够量化评估当前企业软件安全风险及能力现状,最终的目标是构建一套行之有效的可持续企业软件安全治理体系。 软件安全治理必须从全局出发,我们需要完整的方法论和实践框架,指导企业如何将软件安全理念落地,构建起适应未来挑战的安全治理体系。
如何解决这些问题
从企业的业务系统出发,深入到具体的应用,再到构成应用的软件成分,最终识别和应对各种威胁类型。通过这种层层递进的分析方法,帮助企业从全局视角理解软件安全,并找到有效的治理路径。
两大核心框架,支撑企业软件安全治理落地
企业软件成分分类(ESCT)
解决 "软件由什么构成" 的问题,为划定安全边界、开展安全评估提供基础的 "成分视角"。
企业软件成分威胁分类(ESTT)
解决 "软件可能面临哪些威胁" 的问题,为评估安全水位、构建治理体系提供全面的 "威胁视角"。