150萬元重獎！阿里軟體供應鏈安全大賽正式啟動

近些年，從稜鏡門事件到XcodeGhost，再從惠普驅動鍵盤記錄後門事件，到Xshell後門、python pip源欺騙性污染、VSCODE插件釣魚。軟體供應鏈安全事件不僅頻繁發生，而且具有威脅對象種類多、極端隱蔽、涉及緯度廣、攻擊成本低回報高、檢測困難等特性。

針對於此，阿里安全宣布正式啟動「功守道」阿里軟體供應鏈安全大賽。本次賽事的官網（https://softsec.security.alibaba.com/index.html）也同步上線，並將在近日開啟報名入口。

據賽事負責人、阿里安全資深專家杭特介紹，本次大賽旨在「以武會友、攻守切磋」，以促進軟體供應鏈安全技術的發展。通過「查缺補漏、杜隙防微」，保障軟體供應鏈安全；「抽絲剝繭、碼海尋蹤」，發現軟體供應鏈安全問題。

眾所周知，安全行業在當前的高速發展過程中，出現了一些亟待解決的「怪現狀」。比如，行業普遍重視「攻」，而忽視「防」，造成防守人才極度匱乏，進而使得攻守失衡。再比如，業界普遍重視「人肉」， 而輕視「自動化」，讓大量的安全工作都是低級重複性的，效率非常低下。另外，安全行業還存在著重視「攻防」， 輕視「數據」；重視「單點、破壞」， 輕視「體系、建設」；重視「技術」， 輕視「業務」；重視「反向能力」， 輕視「正向能力」等系列問題。

杭特表示，阿里軟體供應鏈安全大賽是從「真正嘗試解決上述業界痛點、提高安全行業防護能力」出發的，並且可以做到安全能力的沉澱，比賽也在賽制上有很大的創新，兩種角色同台角力，引發激烈的能力對抗。

據悉，阿里軟體供應鏈安全大賽的報名時間為2018年2月-3月；2018年3月-4月將舉行軟體供應鏈安全測試賽，4月-9月舉行分站賽，10月份舉行總決賽。

為了吸引更多的優秀參賽者，本次大賽提供了高達150萬元的獎金。無論是來自企業、高校，亦或是研究團體都可以參賽，而且無論是組隊，還是「單槍匹馬」，均可參加。

「這就是一場自動化軟體供應鏈安全風險點檢測的攻防對抗盛宴」，杭特總結說。