阿里云飞天企业版获最高等级安全认证！

近日，工信部直属的中国软件评测中心公布了首批通过软件供应链安全能力评估的产品。其中，阿里云飞天企业版凭借在高透明度和有效依赖管理、内置安全能力等方面的优势，获评安全能力最高等级。

本次测评以《网络安全技术软件供应链安全要求》和《软件供应链安全能力评估规范》为评估依据。《网络安全技术软件供应链安全要求》由中国信息安全测评中心起草，目前已正式发布。依据国家标准，中国软件评测中心组织制定《软件供应链安全能力评估规范》，帮助企业持续完善软件供应链安全管理能力，阿里云参与了上述两项标准的制定。以上规范的制定填补了我国在软件供应链安全方面国家标准的空白，推动了标准化工作的实施，完善了信息技术标准规范体系。

在此次评测中，飞天企业版展现了以下几大优势：

高透明度和有效依赖管理

依托于阿里云 CI/CD 流水线，在流水线中集成软件成分分析工具，自动化生成和持续更新软件 SBOM 清单，建立全面、多层次的依赖图谱。

内置安全能力

实现百余款云产品源代码提交触发流水线自动化安全扫描，在代码提交、测试和集成等环节嵌入静态代码扫描、黑盒漏洞扫描、组件漏洞扫描、镜像安全扫描、容器安全扫描等安全工具链。从治理到验证全流程，实现安全问题早发现、早解决。

源端管控开源合规

对于引入的开源组件遵循安全合规和业务必要原则，对开发过程中使用的开源组件引入进行严格管控，以内部安全合规组件库为依托实现“严进严出”，采取白名单管控思路，确保云产品引入的组件来源于安全合规组件库。

持续监测组件停服

使用情报工具持续收集、监控第三方组件的断供风险，通过关联SBOM快速定位可能受影响的组件，基于过往应对断供风险制定应急响应计划，强化应对供应链中断事件的组织级响应能力。