企業動態

4月16日至17日，以“挑戰與變革”為主題的第九屆全國網絡與信息安全防護峯會(XDef)在武漢舉行。兩位奇安信安全專家受邀出席並發表主題演講，與來自政府相關單位、安全企業、高校、科研院所等數百位到場嘉賓，分享網絡與信息安全領域攻擊與防護的熱點問題。

在交叉論壇上，奇安信代碼安全事業部副總經理韓建發表了題為《軟件供應鏈安全實踐與思考》的主題演講。

基於奇安信對數千個軟件項目的軟件供應鏈安全分析數據顯示，當前開源軟件自身安全狀況堪憂，聯網設備供應鏈安全問題嚴重，企業軟件開發項目廣泛使用開源軟件且混亂，甚至在實戰攻防演習中，軟件供應鏈成為常見攻擊短板。

韓建表示，軟件供應鏈中開源社區、開發、交付、運行幾大環節，均有可能引入供應鏈安全風險，並且上游環節的安全問題會傳遞到下游環節。對此他提出，開源軟件安全治理作為軟件供應鏈安全的首要事，應建立企業開源軟件安全治理制度和規範，通過工具建立應用-組件-漏洞-情報之間的關聯關係，針對漏洞情報可以進行及時響應，並對軟件供應商能力提出更高要求，明確安全責任。

在漏洞競賽成果交流論壇上，清華-奇安信聯合研究中心、奇安信技術研究院-天工實驗室研究員錢釔冰分享了主題為《失控：從物聯網協議濫用到新基建安全破解》的主題演講。

以GeekPwn2020植保無人機劫持項目和停車收費系統破解項目為例，錢釔冰從物聯網雲、管、端、移多個核心角色出發，介紹了常見物聯網協議濫用問題的漏洞挖掘方法，並給出基於已有問題的的防護建議。

作為GeekPwn2020的參賽選手，錢釔冰表示，新基建安全問題大多出在業務流程中，在對其進行攻破挑戰之前需要學習較多相對應的知識，且一個漏洞從發現到真實世界完美利用，需要消耗非常大的精力進行構造與調試。但在破解過程中也可以明顯感受到，越是基礎龐大的設施，越會因為一個很小的問題而造成巨大危害。

全國網絡與信息安全防護峯會以“對話、交流、合作”為宗旨，以“前沿、實用、人才”為特色，旨在匯聚政、產、學、研、用等各方專家，充分利用參會嘉賓所處行業合作需求的多元化特點，來促進多方安全力量的有效對話與深入交流。

作為新一代網絡安全領軍企業，奇安信已與數十所高校進行產學合作，提供聯合實驗室建設、在線實驗平台、專業共建、師資培訓及人才培養等多項服務，積極營造有利於網絡安全產業和網絡安全企業發展的政策環境、人才培養體系和產學研基地，有效推動我國的網絡與信息安全防護工作。