能源行业

能源行业软件供应链安全开源风险治理

业务需求

随着能源行业数字化进程不断加快,软件开发生命周期中的开源组件使用日益增多,为满足内部安全要求,有效防控开源组件相关风险,并结合 DevOps 流程建设保障应用和软件知识产权与安全,特开展软件成分分析工具采购项目建设。根据能源行业相关企业内部软件开发现状,软件开发生命周期制定合理的开源治理方案,从源头控制不安全组件入口,全面检测第三方组件在入库及使用过程中的完整性、安全性、合规性、恶意代码以及版本问题,防范因第三方组件引发的应用系统攻击、法律风险和知识产权损失等问题。

解决方案

技术架构
凭借源鉴SCA开源威胁管控平台对能源行业内部系统的组成清单、风险组件、许可协议风险进行检测。凭借源码SCA、二进制SCA、运行时SCA等能力覆盖代码/制品仓库、交付引入软件、存量运行时应用,检测当前存量组件或应用已知风险。
首先是检测应用第三方组件的已知漏洞,建立完善的漏洞检测机制,及时并处理,确保应用系统安全,同时利用漏洞的可达性分析技术,降低被声明引入但还未真正使用组件中的漏洞的优先级,辅助用户做出优先级决策,让有限资源聚焦、高效被利用。
其次检测第三方组件安全许可问题,通过将具备相似特征和风险的许可证自定义为许可证系列,结合对许可证冲突条款的持续监控预警,极大简化用户在许可证合规治理过程中的复杂度。
最后,充分利用软件物料清单(SBOM)技术,通过匹配SBOM情报与自身数字资产,用户能够从漏洞和恶意代码两个维度,对第三方组件进行更具有针对性的风险预警、威胁定位和响应处置。

成果效益

通过引入SCA平台,帮助能源行业用户梳理软件组件资产台账清晰目标管理,对应用中的开源组件、可能存在的漏洞以及相关许可证风险进行全面且细致的关联聚合分析。无论是在引入源头环节、开发过程中,还是在运行监控阶段,甚至是管理层面,都能够凭借该平台快速精准地定位漏洞所在,并及时实施修复。这种多维度的管控模式,形成了一个严密的闭环,如同坚固的防线一般,全面治理开源威胁,为能源行业企业的业务发展和信息安全保驾护航。

荣誉认可

大庆油田“智能化供应链源码审查平台建设实践”获中国信通院2025安全守卫者计划典型案例

为推动网络安全技术与各行业各领域信息化发展深度融合,中国信通院自2021年起已连续四年成功开展“安全守卫者计划”典型案例征集工作。凭借丰富的落地实践经验,悬镜安全联合大庆油田申报的“智能化供应链源码审查平台建设实践”获中国信通院2025安全守卫者计划典型案例。
扫描二维码
阅读获奖案例详细方案