2023RSAC创新沙盒大赛十强公布，软件供应链与开源软件安全再成焦点

Posted 2023-03-30 软件供应链安全

近日，2023RSAC大会公布了第18届RSAC创新沙盒竞赛的决赛“十强企业”。软件安全企业Endor Labs成功入围，软件供应链安全和开源安全问题再次成为国际焦点。Endor Labs提供了一个可依赖的生命周期管理平台，旨在解决软件供应链安全中企业开源软件治理问题，帮助开发者快速定位并解决开源软件引入的风险。

从2021年开始软件供应链安全连续多年成为RSCA创新沙盒大赛的热门赛道，有2021年Apiiro、Wabbi，2022年的Cycode都是从大赛出来的明星企业。今年将开源软件安全企业纳入软件供应链安全赛道，足以说明国际信息安全领域对此方向的高度重视，强化软件供应链安全更是成为保障各国信息安全的关键措施之一。

随着开源软件的发展和普及，越来越多的企业开始采用开源技术来构建和运营自己的业务。然而，开源技术的治理对企业来说是一个复杂的问题。今年来，针对开源软件供应链的攻击行为频发，对企业发展乃至国家建设造成了严重威胁。

对于开源社区来说，所维护的开源软件的分发和更新是分散的，缺乏统一的管理和审核机制，使得攻击者更容易利用其中的弱点来危害整个开源软件供应链。因此，对于使用开源社区来说，确保软件供应链的安全性和可靠性同样是至关重要的。

开源软件“三大典型”的供应链安全风险

01 漏洞安全风险

开源软件本质上也是由开发者进行开发的，随着时间的推移，会因为技术迭代落后以及代码测试质量不充分而产生一些安全漏洞，比如去年的Log4J事件；其次由于开源软件开放的特性，攻击者往往更容易获取软件自身漏洞信息来实施攻击，所造成的影响也越大。

02 知识产权风险

对于开源软件来说，“开源”并不等于完全免费。在使用当前开源软件时，也同样需要遵守相关“合同要求”。在开源领域主要是围绕“开源许可证”进行，如果企业未按照相关要求进行落实，那么很容易引发知识产权风险。

03 供应链环节的安全风险

开源软件的供应链环节非常复杂，涉及到管理平台类（社区、基金会、遍布世界的开发者等），开发过程类（打包工具、持续集成工具、容器镜像工具等），在这些部分中任何一个环节出现问题都会导致软件供应链的安全风险。由于企业引入开源过程，往往很难发现此类问题，导致了开源软件供应链的风险。

针对开源软件供应链安全的防护方法

01 对开源软件的已知漏洞及时修复

开源软件的已知漏洞是最容易被攻击者所利用的，会危及相应软件系统或数据的机密性、完整性或可用性。在使用开源软件时，及时确定已知漏洞的情况并修复是最重要的防护方法。

02 开展对开源软件的依赖管理

保持开源软件的最新版本，帮助开发者更好地理解系统中使用开源软件的依赖关系，避免出现因依赖库版本不兼容或存在漏洞而导致系统崩溃、数据泄漏、业务中断等安全风险。

03 对源代码进行审查

全面扫描软件源代码，帮助开发者发现代码中的潜在问题和漏洞，避免因此引发的安全漏洞和系统故障，从而提高软件质量和安全性。

04 加强供应链管理

建立健全的供应链管理体系，确保确保开源软件的来源和完整性，防止恶意代码和潜在漏洞的传播，并且对软件供应链进行管理还可以提高软件的质量和可靠性，确保软件满足用户需求

打造软件供应链安全检测平台，提供全方位软件安全检测

软件供应链安全检测平台 (SSCSP)依托开源网安在安全领域近十年的业务实践经验和技术积淀，通过把控软件供应链安全的前端环节，助力客户交付安全可信的软件。帮助用户节省安全成本，将有限资源投入核心业务，提升业务竞争力。

客户收益：保安全、降风险

全方位提升软件安全性、稳定性和可靠性，提升业务竞争力。

清晰了解软件供应链前期安全风险，提高对风险的把控能力。

降低安全成本，将有限资源投入核心业务，降本增效。

产品价值：四位一体，保障软件供应链安全

01 多维度全方位的安全检测

从源代码、软件许可、二进制文件应用程序运行环境等层面对软件进行前期全方位安全检测，输出检测报告中包含专家结果分析和修复建议，协助用户快速完成漏洞修复。

02 软件漏洞及时预警

开源网安团队时刻关注业界最新漏洞态势，以软件资产为依据，快速适配业界漏洞情报数据，为客户提供漏洞预警信息。

03 软件物料清单分析（SBOM）

平台对已检测软件进行物料清单安全分析，并以可视化形态展示(包含软件数量、依赖关系、漏洞情况、许可兼容性等)。

04 软件态势可视化

对所有已检测软件进行数据分析和展示，包含物料清单、漏洞分布、软件详情、许可信息等进行多维度可视化展示，让用户对软件资产情况一目了然。

十强决赛即将拉开帷幕！TECHSPARK星星之火IT创新大赛诚邀您观赛

11月28日，作为湾区创见·网络安全大会的重磅环节，TECHSPARK星星之火IT创新大赛十强决赛将拉开帷幕。在本次十强决赛中，参赛公司将进行项目路演，评委将按照技术、产品、市场与客户等维度进行评分，并最终评选出冠亚季军。获胜的公司将获得丰富的商业机会，并在湾区创见·网络安全大会这一重磅平台中亮相。

TECHSPARK星星之火IT创新大赛由深信服科技和琥珀资本联合主办，是首个面向IT基础设施及企业数字化转型与应用的创新科技项目比赛。大赛旨在选拔网络安全高端人才、网络安全与新基建相关技术领域的创业独角兽，助推IT产业创新发展。

今年，TECHSPARK 成为“湾区创见·2020网络安全大会”的重要赛事之一。除TECHSPARK外，大会还将举办“网鼎杯”决赛及颁奖礼，并设立2场主论坛、15场分论坛，邀请1500位各界嘉宾，集中探讨5G、AI等新型基础设施建设背景下的新型网络安全挑战与机遇。

在评选方面，TECHSPARK 除了从多维度考量项目自身的价值，还充分考虑了在商业落地方面的对接，不仅邀请了资深行业与技术专家担任评委，还邀请了知名投资机构参与，以实现创投资本和创业团队的无缝对接，加速优秀项目的成功落地。这不仅有利于将TECHSPARK打造为信息化和网络安全创新平台，还有利于培育更多的创新业务增长点，为商业变革发展提供新动能。

自赛事开展以来，吸引了来自网络安全、AI、云计算、大数据、物联网等IT领域百余家创业公司，这些公司所提供的项目在方案质量、原创度、成熟度、团队的产品研发与市场交付经验等方面有突出的表现。

经过评委的一致评定，以下十家企业成功入选十强：

• 上海雾帜智能科技有限公司

• 相持软件（深圳）有限公司

• 上海富数科技有限公司

• 上海速石信息科技有限公司

• 北京金睛云华科技有限公司

• 北京逐风科技有限公司

• 深圳江行联加智能科技有限公司

• 中科云创（厦门）科技有限公司

• 上海易念信息科技有限公司

• 北京中安网星科技有限责任公司

  （*以上排名不分先后）

在TECHSPARK十强决赛中，上述十家公司将通过路演的方式进行角逐，获胜的公司与项目将获得丰厚的奖励，这包括在湾区创见·网络安全大会这一重磅平台中亮相，获得全国200余家媒体的集中宣传，实现商业机遇与品牌声誉的增长。此外，获胜者还将与专家评委团深入交流，这有利于汲取专业经验，进一步优化项目，加速业务创新发展。

此次大赛与湾区创见·网络安全大会的其他环节实现了紧密的联动，其不仅仅是为了选拔优秀项目与人才，另外一个重大意义在于让更多的企业和专业人才亲身感受深圳市场化、法治化、国际化的营商环境、生机勃勃的创新创业环境和优良的生态环境，扎根深圳，建设具有全球影响力的网络安全创新高地。

本次TECHSPARK决赛全程开启线上实时直播，

欢迎大家点击“阅读原文”在线参与！