阿里云飛天企業(yè)版獲最高等級安全認證

近日，工信部直屬的中國軟件評測中心公布了首批通過軟件供應鏈安全能力評估的產品。其中，阿里云飛天企業(yè)版憑借在高透明度和有效依賴管理、內置安全能力等方面的優(yōu)勢，獲評安全能力最高等級。

本次測評以《網絡安全技術軟件供應鏈安全要求》和《軟件供應鏈安全能力評估規(guī)范》為評估依據?！毒W絡安全技術軟件供應鏈安全要求》由中國信息安全測評中心起草，目前已正式發(fā)布。依據國家標準，中國軟件評測中心組織制定《軟件供應鏈安全能力評估規(guī)范》，幫助企業(yè)持續(xù)完善軟件供應鏈安全管理能力，阿里云參與了上述兩項標準的制定。以上規(guī)范的制定填補了我國在軟件供應鏈安全方面國家標準的空白，推動了標準化工作的實施，完善了信息技術標準規(guī)范體系。

在此次評測中，飛天企業(yè)版展現(xiàn)了以下幾大優(yōu)勢：

——高透明度和有效依賴管理：依托于阿里云 CI/CD 流水線，在流水線中集成軟件成分分析工具，自動化生成和持續(xù)更新軟件 SBOM 清單，建立全面、多層次的依賴圖譜。

——內置安全能力：實現(xiàn)百余款云產品源代碼提交觸發(fā)流水線自動化安全掃描，在代碼提交、測試和集成等環(huán)節(jié)嵌入靜態(tài)代碼掃描、黑盒漏洞掃描、組件漏洞掃描、鏡像安全掃描、容器安全掃描等安全工具鏈。從治理到驗證全流程，實現(xiàn)安全問題早發(fā)現(xiàn)、早解決。

——源端管控開源合規(guī)：對于引入的開源組件遵循安全合規(guī)和業(yè)務必要原則，對開發(fā)過程中使用的開源組件引入進行嚴格管控，以內部安全合規(guī)組件庫為依托實現(xiàn)“嚴進嚴出”，采取白名單管控思路，確保云產品引入的組件來源于安全合規(guī)組件庫。

——持續(xù)監(jiān)測組件停服：使用情報工具持續(xù)收集、監(jiān)控第三方組件的斷供風險，通過關聯(lián)SBOM快速定位可能受影響的組件，基于過往應對斷供風險制定應急響應計劃，強化應對供應鏈中斷事件的組織級響應能力。

飛天企業(yè)版(ApsaraStack)是阿里云基于阿里云飛天云計算操作系統(tǒng)，為政企客戶專屬構建的資源和云管完全獨立的企業(yè)級云平臺。飛天企業(yè)版與阿里云公共云同根同源，采用同一套技術架構，為客戶提供一致體驗。自2014年起，飛天企業(yè)版已服務超1000家大型政企客戶，深耕金融、政務、能源、電力、交通等多個行業(yè)。

“我們堅信強有力的軟件供應鏈安全管理能力是與客戶、合作伙伴建立深度合作的基礎。未來，我們將在安全能力上持續(xù)投入，為政企客戶提供更加穩(wěn)定可靠、安全易用的云基礎設施。”阿里巴巴研究員、阿里云政企事業(yè)部專有云總經理劉國華表示。

作為國際領先的云安全解決方案提供方，阿里云擁有零信任SASE、數(shù)據安全、流量安全等8大安全域百余項核心能力。據公開資料，2023年，在Forrester《基礎設施即服務平臺原生安全Wave》報告中，阿里云安全獲國內第一;2022年，國際知名咨詢機構對全球云廠商解決方案能力評估中，阿里云的安全能力第一;2020 年，阿里云成為整體安全能力獲國際三大機構(Gartner/Forrester/IDC)認可的國內唯一一家云廠商。

（免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）