日本Cybertrust公司宣布推出“面向AI时代重要基础设施供应链的信任基础构想”,旨在支持AI时代的IT基础设施运营。该构想基于提升AI可信度依赖于软件透明度(平台服务)和数据真实性(信任服务)的理念,将公司自成立以来提供的两大核心服务融合,帮助基础设施运营商在AI时代安全且持续地管理和运营IT基础设施。
作为第一步,Cybertrust将与日本Dark Sky Technology合作,自9月起陆续提供面向IT系统及嵌入式产品的“开源软件(OSS)合规认证服务”。该服务支持制定OSS接纳标准、评估SBOM及OSS构成信息、判断漏洞应对措施,并协助生成审计及客户说明报告。
与Dark Sky Technology的合作
首批“OSS合规认证服务”将结合Dark Sky的软件供应链安全平台“Bulletproof Trust”与Cybertrust在Linux/OSS长期维护、嵌入式Linux开发、SBOM运营及本地支持方面的专业知识,支持重要基础设施中OSS的安全持续运营。
Bulletproof Trust平台提供SBOM管理、OSS包健康评估及依赖风险评估、威胁情报和审计追踪管理等功能。
信任基础构想
该构想中的信任基础将对支撑重要基础设施的IT基础设施、操作系统、OSS、软件构成信息、漏洞应对及运营日志进行全生命周期的持续管理。
AI时代的软件开发与运营加速,需持续保持对所用OSS、生成代码、修正应用及运营决策的可解释状态。同时,随着AI代理和AI生成数据的广泛应用,国际上关于认证授权及数据真实性的标准化讨论不断推进,尤其在重要基础设施领域,需应对ICAM、ABAC、IPSIE等标准。
OSS合规认证服务
该服务不仅支持OSS的使用,还确保在使用前、中及漏洞发生时,能够判断OSS的使用可行性及应对策略,并能说明其依据。主要支持内容包括:
- 制定OSS接纳标准及运营政策
- 评估SBOM及OSS构成信息
- 确认OSS维护状况、漏洞、许可及开发社区风险
- 整理漏洞应对优先级
- 归纳例外判断及持续使用依据
- 支持审计及客户说明报告制作
未来展望
Cybertrust将以此次构想为核心,逐步扩大面向重要基础设施供应链的信任基础建设。通过与Dark Sky的合作,推动为重要IT系统及嵌入式产品的主承包商提供OSS接纳标准制定及审计报告支持等服务。
针对重要IT系统,将基于现有开发运营环境,先从OSS接纳评估、构成信息评估及审计说明支持开始,后续视情况考虑自动化扩展。
针对嵌入式产品,将考虑与EMLinux及其定制维护服务联动,验证扩展CI、构建产物管理及测试结果管理等开发运营流程相关信息管理。
未来还将探索AI生成代码及修正建议的审查机制,整理实际环境中漏洞影响及应对需求,推动签名日志等技术,构建AI时代重要基础设施运营商安全使用OSS的管理基础。
此外,Cybertrust还将根据认证授权及数据真实性的标准化趋势,持续推进信任服务的提供。
