近些年,從稜鏡門事件到XcodeGhost,再從惠普驅動鍵盤記錄後門事件,到Xshell後門、python pip源欺騙性汙染、VSCODE插件釣魚。軟件供應鏈安全事件不僅頻繁發生,而且具有威脅對象種類多、極端隱蔽、涉及緯度廣、攻擊成本低迴報高、檢測困難等特性。
針對於此,阿里安全宣佈正式啟動“功守道”阿里軟件供應鏈安全大賽。本次賽事的官網(https://softsec.security.alibaba.com/index.html)也同步上線,並開啟報名入口。
據賽事負責人、阿里安全資深專家杭特介紹,本次大賽旨在“以武會友、攻守切磋”,以促進軟件供應鏈安全技術的發展。通過“查缺補漏、杜隙防微”,保障軟件供應鏈安全;“抽絲剝繭、碼海尋蹤”,發現軟件供應鏈安全問題。
眾所周知,安全行業在當前的高速發展過程中,出現了一些亟待解決的“怪現狀”。比如,行業普遍重視“攻”,而忽視“防”,造成防守人才極度匱乏,進而使得攻守失衡。再比如,業界普遍重視“人肉”, 而輕視“自動化”,讓大量的安全工作都是低級重複性的,效率非常低下。另外,安全行業還存在著重視“攻防”, 輕視“數據”;重視“單點、破壞”, 輕視“體系、建設”;重視“技術”, 輕視“業務”;重視“反向能力”, 輕視“正向能力”等系列問題。
杭特表示,阿里軟件供應鏈安全大賽是從“真正嘗試解決上述業界痛點、提高安全行業防護能力”出發的,並且可以做到安全能力的沉澱,比賽也在賽制上有很大的創新,兩種角色同臺角力,引發激烈的能力對抗。
據悉,阿里軟件供應鏈安全大賽的報名時間為2018年2月-3月;2018年3月-4月將舉行軟件供應鏈安全測試賽,4月-9月舉行分站賽,10月份舉行總決賽。為了吸引更多的優秀參賽者,本次大賽提供了高達150萬元的獎金。無論是來自企業、高校,亦或是研究團體都可以參賽,而且無論是組隊,還是“單槍匹馬”,均可參加。
“這就是一場自動化軟件供應鏈安全風險點檢測的攻防對抗盛宴”,杭特總結說。
閱讀更多 AliTech 的文章
關鍵字: Python 軟件 XcodeGhost
