真正安全的软件供应链,远不是拼凑一份软件物料清单(SBOM)那么简单——这一议题将在本周举行的Forrester安全与风险峰会上深入探讨。
软件物料清单在当下究竟发挥着怎样的作用?首席信息安全官、软件开发者、监管机构及其他相关方,又该采取哪些措施来防范大规模安全事件的发生?Forrester首席分析师Janet Worthington在峰会前夕接受了InformationWeek的专访,提前透露了她的主题圆桌论坛内容。
该场论坛以"从脆弱走向敏捷:重塑软件供应链安全"为题,于12月11日(周三)在巴尔的摩现场及线上同步举行。与Worthington同台的嘉宾包括:美国总务管理局代理高级网络安全顾问Rosa Underwood、施耐德电气全球网络安全与产品安全办公室供应链安全副总裁Cassie Crossley,以及美国网络安全和基础设施安全局(CISA)高级顾问兼战略师Allan Friedman博士。
Q&A
Q1:软件物料清单(SBOM)在软件供应链安全中起到什么作用?
A:软件物料清单(SBOM)是记录软件组件构成的清单,有助于企业了解自身软件中包含哪些第三方组件及其版本信息,从而在漏洞出现时快速定位受影响范围。然而,仅依赖SBOM并不足以保障软件供应链的整体安全,它只是安全体系中的一个环节,还需要配合其他技术手段和管理措施共同发挥作用。
Q2:首席信息安全官应如何应对软件供应链安全威胁?
A:首席信息安全官需要从多个维度入手:一是建立完整的软件资产可见性,掌握所使用的第三方组件;二是制定供应链风险管理策略,对关键供应商进行安全评估;三是积极参与行业标准的制定与落地;四是与监管机构保持沟通,及时了解最新合规要求。单纯依赖工具和文档远远不够,组织层面的协同机制同样不可或缺。
Q3:Forrester安全与风险峰会上关于软件供应链安全的讨论涉及哪些关键议题?
A:本次峰会的相关论坛聚焦于如何将软件供应链安全从"脆弱"转变为"敏捷",具体议题包括:软件物料清单的现实局限、监管机构与企业在安全责任上的分工,以及行业各方——包括软件开发者、安全负责人和政府机构——如何协作,共同构建更具韧性的软件供应链安全体系。
好文章,需要你的鼓励
Anthropic于6月30日发布Claude Sonnet 5,相较前代Claude Sonnet 4.6在编程、推理、工具使用及知识工作方面均有显著提升。该模型可自主制定计划、使用浏览器和终端等工具,达到数月前需更大更贵模型才能实现的水平。安全评估显示其不良行为率更低。Sonnet 5默认开启自适应思维,采用更新的分词器,性能接近Opus 4.8但价格更低,现已面向所有订阅计划开放。
复旦大学联合多机构提出A2World框架,通过210万条真实机器人轨迹进行动作条件化预训练,将学到的物理动力学先验同时迁移到仿真模拟和策略控制两个方向,在LIBERO和真实机器人任务上均取得当前最优表现。
人工智能基础设施的快速扩张不仅带来总用电量激增,更在改变电网的运行特性。AI训练任务高度同步、计算密集,推理任务则分散且难以预测,两者均可在极短时间内造成电力需求骤变。数据中心的地理集中分布进一步加剧局部电网压力。现有监管框架多基于稳定工业负荷设计,难以适应这类新型需求。专家指出,电网规划需从关注总能耗转向关注需求波动性与同步效应。
同济大学研发的FLISP系统,让无人车与无人机在水电隧道中无需建图、仅靠激光雷达实时协作导航,规划延迟仅7毫秒,成功率100%。