谷歌推出开源项目以提高软件供应链安全。2022年10月20日，谷歌宣布了一项新的开源计划“理解软件工件构成的图表”（Graph for Understanding Artifact Composition，GUAC）可能会改变行业对软件供应链的理解方式，并推动在全行业范围内解决软件供应链安全问题。

来源：Google kusari

【天枢点评】：开源软件不仅是现代软件供应链中的关键组件，也正在重新定义软件开发。工信部2021年发布的《“十四五”软件和信息技术服务业发展规划》指出，全球97%的软件开发者和99%的企业使用开源软件，可以说没有开源就没有数字化的未来，但是开源软件的漏洞问题却十分严重。根据美国新思科技《2021开源安全与风险分析报告》，84%的开源代码库至少含有1个漏洞，60%的已审核代码库仍包含高风险漏洞。近年，针对开源软件的供应链攻击呈显著上升趋势，平均每年增长742%[1]，每7个漏洞中就有6个来自传递依赖。SolarWinds和Log4Shell漏洞事件已经给全球敲响了警钟，黑客仅利用一个漏洞就可以遍历整个下游供应链。因此，迫切需要对软件供应链有一个清晰、全面的了解。谷歌在2021年就承诺将在未来五年内投入100亿美元推进网络安全，如推广扩大零信任计划、保护软件供应链、增强开源安全性和培养未来的人才等，该开源工具是其加强其软件供应链安全战略的一个部分。虽然当前这一工具还处于早期阶段，但由于其依赖的是Linux开源安全基金会 ( OpenSSF )的力量，我们判断其大概率会得到推进和采用，并可能改变行业对软件供应链的看法。分布式开源组织的创新文化将代表未来软件开发的方向，谷歌正在利用其强大的开源项目运作能力通过软件供应链安全不断加强对行业的影响力。我国信创产业要获得长足发展，上述经验值得借鉴。

微软宣布为中小企业提供企业DDoS保护。2022年10月19日， 微软宣布推出公共预览版的Azure DDoS IP保护服务。这是一种全新的、完全托管按保护IP进行付费的DDoS保护服务模式，专为中小型企业（SMB）量身定制。DDoS IP保护现已在部分地区预览。正式计费将从2023年2月1日开始。

来源：microsoft

【天枢点评】：所谓DDoS攻击就像一群恶魔排队上车，而真正的乘客却被挡在门外。通常人们认为DDoS攻击针对的主要是大企业，但数据显示，2022年每家中小企业可能遭受56000次到86000次网络攻击[2]。360天枢智库在世界数字经济大会和第十届ISC大会发布的《2022中小微企业数字安全报告》发现近四成的小企业担心其业务中断。随着世界经济下行趋势越加明显，可预测针对中小微企业的网络威胁可能会更加猖獗。占全球企业数量90%以上的中小微企业，很可能会成为网络威胁者攻击大企业或政府机构的跳板。因此，中小微企业安全问题本质上关乎数字供应链安全，也关乎国家安全。

IDC发布报告称360数字安全集团凭借实训靶场领跑安全企业级培训服务市场。2022年10月24日，IDC发布《2022上半年中国IT安全服务市场跟踪报告》。报告显示，2022上半年中国IT安全服务市场厂商整体收入约为12.25亿美元（约合79.4亿元人民币），涨幅11%。其中，360数字安全集团凭借实训靶场平台和服务，以12.9%的市场份额位居IT安全企业级培训服务市场首位。

来源：myzaker

【天枢点评】：根据(ISC) ²最近发布的网络安全行业劳动力报告显示，我国网络安全人才缺口为140万人为全球之首（参阅本期B4）。网络安全竞争说到底是人才的竞争，既有数量指标更有能力指标，从业人员的能力素养是贯穿数字安全的中轴线。讲百遍不如打一遍。靶场是培养从业人员的重要练兵场，全社会需要进一步推进靶场训练的普及度，以尽快弥补我国网络安全人才的能力缺口。

[1] https://www.sonatype.com/state-of-the-software-supply-chain/introduction

[2] The Biggest Cyber Security Threats Coming in 2022

  * 如需了解《数字安全观察》完整版信息，请联系[email protected]，关注360天枢智库