专业软件测评————软件成分及供应链安全评测
陕西省信息化工程研究院是经陕西省编办批准成立的具有独立法人资格的事业单位,作为信息技术领域的第三方软件测评服务机构,专业从事软件产品测试、系统验收测试、产品确认测试、产品选型测试、软件性能测试、软件安全测试、软件科技成果鉴定测试等多种服务类型的测试工作; 实验室拥有科学的检测工具,有效的管理体系和专业的检测人员,现已取得中国合格评定国家认可委员会 (CNAS)的检测实验室能力认可(证书编号:CNAS L2998)、陕西省市场监督管理局检验检测机构资质(CMA)认定证书(证书编号:232709340909);我院以服务于政府机构、科研院校及企事业单位为己任,通过政、产、学、研、用相结合, 为多行业多领域的软件产品与信息系统实施第三方评测服务。
软件成分及供应链指在软件源代码、以及软件开发所涉及到组件、开发流程、投入生产和最终软件产品分发的过程。随着软件供应链中开源占比的逐年增多,开源项目引用过程中缺乏对漏洞、恶意代码的检测、修复,代码复用产生的漏洞成为软件供应链的重大安全威胁。我国相继出台《网络安全法》等一系列法律法规,对软件供应链安全做了明确的要求。
软件成分及供应链安全评测是对软件代码及供应链中各个环节进行风险评估和安全控制的过程,适用于系统建设方、系统开发的承建方或其他委托方。
通过对软件供应链安全评测,为客户解决多项安全问题,包括:
1、供应商众多,软件质量参差不齐,前期安全不可控;
2、缺乏软件供应链安全体系准入标准,无法对入围/交付的软件进行全面的安全质量评估;
3、软件来源复杂,开发场景复杂,安全管理难度大;
4、软件数量庞大,安全检测需求超负荷,人效低等问题。
开展软件成分及供应链安全评测,能为客户带来的价值,包括:
1、为系统建设单位规避风险,提高政绩,降低安全成本;
2、帮助建设单位全面了解软件的构成和来源,解决开源软件引入的安全风险,提升软件的安全性、稳定性和可靠性,提高对风险的把控能力;
3、为验收评审专家提供参考数据;帮助系统建设方提升业务竞争力。