軟件供應(yīng)鏈安全治理與運(yùn)營白皮書（2022） -中國電信

ISC、ISCISC國電信研究院授權(quán)，不得轉(zhuǎn)載、更改或復(fù)印、派發(fā)該報(bào)告內(nèi)容，違者將依法追究法律責(zé)任。轉(zhuǎn)載或引用本報(bào)告內(nèi)容，不得進(jìn)行如創(chuàng)始人子芽。專注于以代碼疫苗技術(shù)為內(nèi)核，通過原創(chuàng)專利級(jí)"全流程軟件供應(yīng)鏈安全賦能平臺(tái)+敏捷安全工具鏈”的第三代DevSecOps智適應(yīng)威脅管理體系，持續(xù)幫助金融、車聯(lián)網(wǎng)、泛互聯(lián)網(wǎng)、能源等行業(yè)用戶構(gòu)筑起適應(yīng)自身業(yè)務(wù)彈性發(fā)展、面向敏捷業(yè)務(wù)交付并引領(lǐng)未來架構(gòu)首屆以來，九年間已圍繞網(wǎng)絡(luò)空間治理、數(shù)據(jù)安全、威脅情報(bào)等前沿領(lǐng)域安全問題，舉辦超20度參與，共話中國電信研究院是中國電信集團(tuán)公司為適應(yīng)集團(tuán)發(fā)展和需要而組建的重要科研機(jī)構(gòu)，伴隨著通承擔(dān)通信行業(yè)創(chuàng)新產(chǎn)品的研發(fā)與落地、前瞻技術(shù)與應(yīng)用的研究與攻關(guān)、企業(yè)運(yùn)營中業(yè)務(wù)與技術(shù) 數(shù)字化時(shí)代，軟件定義萬物，已逐漸成為支撐社會(huì)正常運(yùn)轉(zhuǎn)的最基本元素之一。隨著軟件開發(fā)過程中開源應(yīng)用的使用越來越多，開源應(yīng)用事實(shí)上逐漸成為了軟件開發(fā)的核心基礎(chǔ)設(shè)施，混源軟件開發(fā)也已成為現(xiàn)代應(yīng)用主要軟件開發(fā)交付方式，開源應(yīng)用的安全問題也已被上升到基礎(chǔ)設(shè)施安全和待。軟件供應(yīng)鏈開源化，導(dǎo)致影響軟件全供應(yīng)鏈的各個(gè)環(huán)節(jié)都不可避免受到開源應(yīng)用的影響。尤其是開源應(yīng)用的安全性問題，將直接影響采用開源應(yīng)用的相應(yīng)軟件供應(yīng)鏈的安全。除了開源應(yīng)用開發(fā)甚至還有惡意攻擊者偽造的含有隱藏性惡意功能的異常行為代碼被故意上傳到上游開源代碼托管平臺(tái)，實(shí)施定向軟件供應(yīng)鏈攻擊。上述開源應(yīng)用中存在的眾多安全問題，導(dǎo)致軟件供應(yīng)鏈的安全隱患更加嚴(yán)峻。機(jī)構(gòu)、企業(yè)各個(gè)層面建立軟件供應(yīng)鏈安全風(fēng)險(xiǎn)的發(fā)現(xiàn)能力、分析能力、處置能力、防護(hù)能力，整體提升軟件供應(yīng)鏈安全管理的水平。為此，需要開展全方位的軟件供應(yīng)鏈安全檢測防御方法和技術(shù)研究。第一，開展軟件成分動(dòng)態(tài)分析及開源應(yīng)用缺陷智能檢測技術(shù)研究，突破高效高準(zhǔn)確性的開源應(yīng)用安全缺陷動(dòng)態(tài)檢測技術(shù)的瓶頸，解決基于全代碼遍歷和代碼片段級(jí)克隆技術(shù)比對(duì)的應(yīng)用安全檢測建立全球開源應(yīng)用的傳播態(tài)勢感知和預(yù)警機(jī)制，攻克軟件供應(yīng)鏈中軟件來源多態(tài)追蹤技術(shù)，實(shí)現(xiàn)對(duì)供應(yīng)鏈各環(huán)節(jié)中軟件來源的溯源機(jī)制。通過軟件來源多態(tài)追蹤技術(shù)監(jiān)控開源應(yīng)用的使用傳播和分布部署態(tài)勢，全面把握有缺陷的開源應(yīng)用傳播和使用渠道，實(shí)現(xiàn)對(duì)全球開源應(yīng)用及其安全缺陷的預(yù)測代碼缺陷和異常行為代碼分析、軟件漏洞分析、開源軟件成分及風(fēng)險(xiǎn)分析等關(guān)鍵能力，為關(guān)鍵基礎(chǔ)設(shè)施、重要信息系統(tǒng)用戶提供日常的自查服務(wù)，及時(shí)發(fā)現(xiàn)和處置軟件供應(yīng)鏈安全風(fēng)險(xiǎn)。第四，嚴(yán)格件供應(yīng)鏈安全領(lǐng)域的推廣和應(yīng)用，從根本上提供軟件供應(yīng)鏈安全的可靠保障。應(yīng)鏈已經(jīng)成為網(wǎng)絡(luò)空間攻防對(duì)抗的焦點(diǎn)，直接影響關(guān)鍵基礎(chǔ)設(shè)施和數(shù)字經(jīng)濟(jì)安全，這也是為何中國DevSecOpsDSO被定為“安全從供應(yīng)鏈開始”的主要原因，也是我們本次發(fā)布《軟件供應(yīng)鏈安全治理與運(yùn)營白皮書(2022)》的主要驅(qū)動(dòng)力。鏡創(chuàng)始團(tuán)隊(duì)就一直希望能有機(jī)會(huì)結(jié)合自身在這幾年的前沿技術(shù)創(chuàng)新研究和行業(yè)應(yīng)用實(shí)踐沉淀，可以敏捷安全應(yīng)用實(shí)踐經(jīng)驗(yàn)的《DevSecOps敏捷安全》書籍應(yīng)運(yùn)而生。希望在這個(gè)新涌現(xiàn)新變化的前沿技術(shù)領(lǐng)域，我們懸鏡團(tuán)隊(duì)和業(yè)界同行一起，憑借長期的技術(shù)積累和突破來推動(dòng)中國自己的安全產(chǎn)業(yè)向新的未知空間做更深層次地探索，為產(chǎn)業(yè)搭建一個(gè)匯集“國家、行業(yè)、機(jī)構(gòu)、企業(yè)“等綜合力量同向、同心”的軟件供應(yīng)鏈安全保障生態(tài)體系變得愈發(fā)重要。網(wǎng)絡(luò)安全關(guān)乎著國家安全、企業(yè)安全，近年來一直備受重視。尤其是云原生、AI、物聯(lián)網(wǎng)等技術(shù)的不斷更新發(fā)展與應(yīng)用，既推進(jìn)了信息安全產(chǎn)業(yè)的快速發(fā)展，也衍生了更多的安全威脅。軟件供應(yīng)鏈安全作為網(wǎng)絡(luò)安全的重要部分，近年來爆發(fā)的安全問題也越來越凸顯。了解軟件供應(yīng)鏈安全的相關(guān)內(nèi)容、探究安全治理與運(yùn)營解決方安全風(fēng)險(xiǎn)分析、安全治理辦法及安全實(shí)踐等內(nèi)容，對(duì)軟件供應(yīng)鏈安全做了框架性的梳理。鑒于近年來軟件攻擊鏈安全事件高發(fā)，如何治理是眾多企業(yè)亟需填補(bǔ)的理論洼地，對(duì)本模塊加深認(rèn)知才能占領(lǐng)實(shí)現(xiàn)軟件供應(yīng)鏈安全體安全。71軟件供應(yīng)鏈安全發(fā)展背景12國內(nèi)外政策法規(guī)28122軟件供應(yīng)鏈安全現(xiàn)狀131428不斷增多32343軟件供應(yīng)鏈安全面臨的挑戰(zhàn)363737許可證合規(guī)及兼容風(fēng)險(xiǎn)3840414軟件供應(yīng)鏈安全治理體系4243GoogleSLSA43框架對(duì)比分析494.2治理體系構(gòu)建50.3軟件供應(yīng)過程風(fēng)險(xiǎn)治理5151565657575859596169694.6.2研發(fā)運(yùn)營一體化(DevOps)能力成熟度模型70SBOM74SBOM5SBOM79SBOM817.1.軟件物料清單(SBOM)將得到更多實(shí)踐都可能造成巨大的損失。然而，近年來攻擊者利用軟件供應(yīng)鏈進(jìn)行攻漏洞就可以輕松訪問上下游業(yè)務(wù)系統(tǒng)，這也是眾多攻擊加了三倍?！笨梢?，軟件供應(yīng)鏈的安全威脅將越來越嚴(yán)重。網(wǎng)絡(luò)安全關(guān)乎著企業(yè)是否正常運(yùn)信息技術(shù)時(shí)代，軟件是企業(yè)應(yīng)用程序的重要組成基礎(chǔ)，軟件無處不在且扮演著越來越重要的角色。一旦軟件出現(xiàn)安全問題，將會(huì)影響到整個(gè)業(yè)務(wù)系統(tǒng)的正常運(yùn)行。然而隨著軟件產(chǎn)業(yè)的不斷發(fā)展，軟件供應(yīng)鏈的復(fù)雜度不斷增加，對(duì)于信息系統(tǒng)的安全帶來了眾多安全威脅。不過軟件供應(yīng)鏈安全意識(shí)也在不斷完善，國內(nèi)外政府相繼出臺(tái)了一系列法令法規(guī)，也制定了一系列的相關(guān)標(biāo)準(zhǔn)，對(duì)軟件供應(yīng)鏈安全做了明示，以指導(dǎo)企業(yè)機(jī)構(gòu)等能更好的美歐等發(fā)達(dá)國家和地區(qū)在信息技術(shù)供應(yīng)鏈安全管理領(lǐng)域起步較早，出臺(tái)了大量政策法規(guī)和標(biāo)準(zhǔn)規(guī)范，用于加強(qiáng)工作。1美國國土安全部 成立一個(gè)新機(jī)構(gòu)--網(wǎng)絡(luò)安全審查委員會(huì) CSRB以調(diào)查重大網(wǎng)絡(luò)安全事件。這個(gè)由15人組成的委員會(huì)將由來自國安局、FBI和SA部和司法部在內(nèi)的政府部門的高級(jí)官員一以及Verizon等公司的私營其成立后的第一項(xiàng)任22日美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 主導(dǎo)成立的ICT供應(yīng)鏈風(fēng)險(xiǎn)管理工作組制定了作組計(jì)劃將軟硬件物料清單以及加大對(duì)中小企業(yè)的影響力作為其供應(yīng)鏈風(fēng)3日簽署了“關(guān)于改善國家網(wǎng)絡(luò)安全 (EO14028)”應(yīng)鏈安全”的(e)條款要求：初步指南發(fā)布90遲于2022年2月6日)，NIST應(yīng)發(fā)布加強(qiáng)軟件供應(yīng)鏈安全實(shí)踐全軟件開發(fā)框架(SSDF)V1.0》，4號(hào)《美國供應(yīng)鏈求聯(lián)邦機(jī)構(gòu)對(duì)關(guān)鍵領(lǐng)域和行業(yè)的全球供應(yīng)鏈進(jìn)行發(fā)布導(dǎo)體芯片的四個(gè)關(guān)鍵領(lǐng)域?qū)彶?；在行政令發(fā)布后的一年之內(nèi)對(duì)衛(wèi)生、通信技和食品生產(chǎn)六個(gè)行業(yè)進(jìn)行供應(yīng)鏈審查35《確保信息通信技術(shù)與服務(wù)供應(yīng)國土安全部、國家情報(bào)總監(jiān)分別根據(jù)自身職責(zé)開展持續(xù)性評(píng)估工作，每年均需發(fā)布相關(guān)評(píng)估6正式組建ICT供應(yīng)鏈風(fēng)險(xiǎn)管理特該任務(wù)組主要職責(zé)時(shí)識(shí)別全球ICT供應(yīng)鏈安全風(fēng)險(xiǎn)挑戰(zhàn)，并提供可操7將供應(yīng)鏈安全上家網(wǎng)絡(luò)安全綜合計(jì)劃 系統(tǒng)和服務(wù)的整個(gè)生命周期內(nèi)綜合應(yīng)對(duì)國內(nèi)和全球供應(yīng)鏈風(fēng)險(xiǎn)；2009年發(fā)布的《網(wǎng)絡(luò)空間安全評(píng)估報(bào)告》，將信息通信技術(shù)(以下簡稱ICT)供應(yīng)鏈安全納美國率先完成了ICT供應(yīng)鏈安全的框架結(jié)構(gòu)設(shè)計(jì)，明確了其在國家安位41歐洲網(wǎng)絡(luò)及信息NISA的供應(yīng)鏈攻擊威對(duì)供應(yīng)鏈攻擊進(jìn)行了分月到7月初的24起供應(yīng)鏈攻擊事件進(jìn)行了研究，對(duì)供應(yīng)鏈攻擊者來、攻擊手段、攻擊目標(biāo)以及應(yīng)對(duì)措施進(jìn)行了2歐洲網(wǎng)絡(luò)與信息NISA發(fā)布《供應(yīng)鏈完鏈風(fēng)險(xiǎn)和挑戰(zhàn)概述，以及發(fā)展方指出ICT供應(yīng)鏈完整性是國家經(jīng)濟(jì)發(fā)展的關(guān)鍵因素，提高供應(yīng)鏈完整度對(duì)公共和私營部門意義重大，并建議供應(yīng)鏈安全管理應(yīng)遵循同一套實(shí)踐，為評(píng)估和管理提供共同的基礎(chǔ)，政府應(yīng)與企業(yè)合作建立ICT供險(xiǎn)評(píng)估框架51國家互聯(lián)網(wǎng)信息次室務(wù)會(huì)議審議通過《網(wǎng)絡(luò)安全審查辦為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，維護(hù)國家安全，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，影響或可能影響國家安全的，應(yīng)進(jìn)行網(wǎng)絡(luò)安2廳、中央網(wǎng)信辦秘書局、工業(yè)和廳、銀保監(jiān)會(huì)辦公廳、證監(jiān)會(huì)辦聯(lián)合發(fā)布《關(guān)于規(guī)范金融業(yè)開源技術(shù)應(yīng)用與發(fā)展的意見》(以下簡《意見》要求金融機(jī)構(gòu)在使用開源技術(shù)時(shí)，應(yīng)遵循“安全可控、合規(guī)使用、問題導(dǎo)向、開放創(chuàng)新”等原則?！兑庖姟饭膭?lì)金融機(jī)構(gòu)將開源技術(shù)應(yīng)用納入自身信息化發(fā)展規(guī)劃，加強(qiáng)對(duì)開源技術(shù)應(yīng)用的組織管理和統(tǒng)籌協(xié)調(diào)，建立健全開源技術(shù)應(yīng)用管理制度體系，制定合理的開源技術(shù)應(yīng)用策略；鼓勵(lì)金融機(jī)構(gòu)提升自身對(duì)開源技術(shù)的應(yīng)急處置能力、供應(yīng)鏈管理能力等；鼓勵(lì)金融機(jī)構(gòu)積極參與開源生態(tài)建設(shè)，加強(qiáng)與產(chǎn)學(xué)研交流合作力源社會(huì)組織等32021年7月30日正式公布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條營者應(yīng)當(dāng)優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)；采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的，應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查”64國家標(biāo)準(zhǔn)化管理擬通過研究制定《信息安全技術(shù)軟件供應(yīng)鏈安全提升國內(nèi)軟件供應(yīng)鏈各個(gè)環(huán)節(jié)的規(guī)范性和安全5中國電子技術(shù)標(biāo)《信息技術(shù)產(chǎn)品見稿規(guī)定了信息技術(shù)產(chǎn)品供應(yīng)方和需求方應(yīng)滿足的安全要求6電信終端產(chǎn)業(yè)協(xié)會(huì)發(fā)布了《網(wǎng)絡(luò)產(chǎn)品供應(yīng)鏈安全要對(duì)網(wǎng)絡(luò)產(chǎn)品在管理制度、組織機(jī)構(gòu)和人員、信息系統(tǒng)等以及供應(yīng)鏈環(huán)節(jié)提出了不同等級(jí)的7國家互聯(lián)網(wǎng)信息發(fā)布《云計(jì)算服要求云計(jì)算服務(wù)安全評(píng)估工作中，應(yīng)重點(diǎn)評(píng)估“云平臺(tái)技術(shù)、產(chǎn)品和申請(qǐng)安全評(píng)估的云服務(wù)商應(yīng)提交“業(yè)務(wù)連續(xù)性和供應(yīng)鏈安全報(bào)告”8推動(dòng)制定《軟件理能力成熟度模型》、《軟件物料清單建設(shè)總體從軟件供應(yīng)鏈入口、自身、出口三個(gè)階段多維度保障軟件供應(yīng)鏈安估測試9第十二屆全國人民代表大會(huì)常務(wù)第二十四次會(huì)議通過《中華人民共和國網(wǎng)絡(luò)安全第三十五條“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)當(dāng)通過國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門組織的第三7十六條“關(guān)鍵信息基礎(chǔ)設(shè)和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂安全保密協(xié)議，全提出要求1ISO/IECJTC1/《信息技術(shù)安全技術(shù)供應(yīng)商關(guān)系的信息安包括四個(gè)部分，分別是:供應(yīng)商關(guān)系的類型、相關(guān)安全風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)管理對(duì)供應(yīng)關(guān)系中的信息安全進(jìn)行定義，并對(duì)實(shí)施、全指南》，對(duì)ICT供應(yīng)鏈中產(chǎn)品和服務(wù)的安全風(fēng)險(xiǎn)進(jìn)行描述和分析，給出了應(yīng)對(duì)相應(yīng)風(fēng)險(xiǎn)的措全指南》，提出了云計(jì)算服務(wù)在ICT供應(yīng)鏈方面及相關(guān)應(yīng)對(duì)措施82《信息技術(shù)開放可信技術(shù)提供商標(biāo)準(zhǔn)減少惡意和仿冒組件》系列C部分，針對(duì)信息通信技術(shù)硬件和軟件在產(chǎn)品生命周期內(nèi)面臨的完整性威脅，特別是惡意和仿冒組件帶來的安全風(fēng)險(xiǎn)，提供了一套應(yīng)和建議3《供應(yīng)鏈安全管說明了組織建立、實(shí)施供應(yīng)鏈安全管理體系的要求，保障供應(yīng)鏈安全的重要內(nèi)容，為各類組織開展供應(yīng)鏈安全管理提供了一個(gè)較為4NISTSP800-《聯(lián)邦信息系統(tǒng)和組織的供應(yīng)鏈針對(duì)為聯(lián)邦信息系統(tǒng)和機(jī)構(gòu)供應(yīng)鏈方面面臨的安全風(fēng)險(xiǎn)，提出的ICT供應(yīng)鏈安全風(fēng)險(xiǎn)控制流程和措施。該標(biāo)準(zhǔn)通過提出將供應(yīng)鏈安全風(fēng)險(xiǎn)納入組織整體的風(fēng)險(xiǎn)管理過程，并給織面臨的供應(yīng)鏈安全風(fēng)險(xiǎn)1GB/T36637—《信息安全技安全風(fēng)險(xiǎn)管理包括四個(gè)部分，分別是:供應(yīng)商關(guān)系的類型、相關(guān)安全風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)管理對(duì)供應(yīng)關(guān)系中的信息安全進(jìn)行定義，并對(duì)實(shí)施、9安全指南》，對(duì)ICT供應(yīng)鏈中產(chǎn)品和服務(wù)的安全風(fēng)險(xiǎn)進(jìn)行描述和分析，給出了應(yīng)對(duì)相應(yīng)安全指南》，提出了云計(jì)算服務(wù)在ICT供應(yīng)險(xiǎn)及相關(guān)應(yīng)對(duì)措施2BT《信息安全技術(shù)信息技術(shù)產(chǎn)品供應(yīng)方行為安全準(zhǔn)該標(biāo)準(zhǔn)規(guī)定了信息技術(shù)產(chǎn)品供應(yīng)方在提供信息技術(shù)產(chǎn)品過程中，為保護(hù)用戶相關(guān)信息，維護(hù)用戶信息安全應(yīng)遵守的基本準(zhǔn)則，分別從用戶相關(guān)信息收集和處理的安全、遠(yuǎn)程控制用戶產(chǎn)品的安全和其他行為安全等方面提供應(yīng)方行為管理3GB/T32926—《信息安全技術(shù)政府部門信息技術(shù)服務(wù)外包信息該標(biāo)準(zhǔn)針對(duì)政府部門在使用信息技術(shù)服務(wù)外包時(shí)面臨的外包服務(wù)機(jī)構(gòu)背景復(fù)雜、服務(wù)人員流動(dòng)性大、內(nèi)部管理不規(guī)范等問題帶來的信息安全風(fēng)險(xiǎn)，建立了政府部門信息技術(shù)服務(wù)外包信息安全管理模型，明確了服務(wù)外包信息安全管理角色和責(zé)任，將管理活動(dòng)劃分為規(guī)劃準(zhǔn)備、機(jī)構(gòu)和人員選擇、運(yùn)行監(jiān)督、改進(jìn)完成四個(gè)階段，提出具體信息安全管理要求，為政府部門信息技術(shù)服務(wù)外包的安全4GB/T31168—《信息安全技術(shù)云計(jì)算服務(wù)安全該標(biāo)準(zhǔn)提出了云服務(wù)商應(yīng)具備的技術(shù)能力，適用于對(duì)政府部門使用的云計(jì)算服務(wù)進(jìn)行安全管理。標(biāo)準(zhǔn)從重要設(shè)備安全檢測情況，重要信息系統(tǒng)、組件獲服務(wù)的供應(yīng)鏈保護(hù)措施情況，供應(yīng)商情況等方面對(duì)云服務(wù)商的供應(yīng)求5GB/T24420—《供應(yīng)鏈風(fēng)險(xiǎn)管該標(biāo)準(zhǔn)在參考國際航天質(zhì)量標(biāo)準(zhǔn)、美國機(jī)動(dòng)天工業(yè)協(xié)會(huì)標(biāo)準(zhǔn)《供應(yīng)鏈風(fēng)險(xiǎn)管理指南》等標(biāo)準(zhǔn)的基礎(chǔ)上制定。標(biāo)準(zhǔn)給出了供應(yīng)鏈風(fēng)險(xiǎn)管理的通用適用于各類組織保護(hù)其在供應(yīng)鏈上進(jìn)行的產(chǎn)6-《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施信息技術(shù)產(chǎn)品供應(yīng)鏈安全要求 (報(bào)批稿)》該標(biāo)準(zhǔn)提出了關(guān)鍵信息基礎(chǔ)設(shè)施、政務(wù)信息系統(tǒng)信息技術(shù)產(chǎn)品供應(yīng)鏈在設(shè)計(jì)、開發(fā)、采購、生產(chǎn)、交付和運(yùn)維等環(huán)節(jié)的安全要求，供應(yīng)商管理、供應(yīng)來源多樣性等方面提出安全要求，適用于關(guān)鍵信息基礎(chǔ)設(shè)施、政務(wù)信信息技術(shù)產(chǎn)品供應(yīng)鏈安全7-《信息安全技術(shù)軟件供應(yīng)鏈安全 (草案)》該標(biāo)準(zhǔn)規(guī)定了軟件產(chǎn)品和服務(wù)供應(yīng)鏈所涉及相關(guān)要素的安全要求，包括軟件供應(yīng)鏈組織管理要求，以及開發(fā)、交付、使用等環(huán)節(jié)的近年來，世界各地出現(xiàn)了越來越多的針對(duì)不同國家公共和私人機(jī)構(gòu)的供應(yīng)鏈攻擊。在某些情況下，攻擊是由國后門等不同形式的攻擊針對(duì)企業(yè)的攻擊也越來越多，在近年的軟件供應(yīng)鏈攻擊事件中可見一斑。關(guān)于不同類型的攻擊手段，在《軟件供應(yīng)鏈安全白皮書(2021)》中也有細(xì)數(shù)，可再次翻閱。軟件供應(yīng)鏈攻擊是復(fù)雜的，當(dāng)軟件開發(fā)或者第三方代碼/組件的引入缺乏透明度時(shí)，便缺乏了對(duì)惡意攻擊的抵”該攻擊使銀行、商業(yè)、公用事業(yè)和物流癱瘓，在全球造成數(shù)十億美元的損失。2020年全球著名的管理軟件供開源軟件(OpenSourceSoftware,簡稱OSS)讓軟件開發(fā)模式發(fā)生轉(zhuǎn)變，為節(jié)省開發(fā)時(shí)間，眾多企業(yè)在應(yīng)用SS發(fā)階段使用惡意軟件是難以發(fā)現(xiàn)的。在某些情況下，攻擊者在軟件代碼編譯和簽名之前就插入了惡意軟件，將其嵌入到標(biāo)準(zhǔn)的安全簽名之后，從而降低了被反病毒工具檢測到的可能性。在其他情況下，攻擊者通過軟件發(fā)不管是針對(duì)國家層面還是企業(yè)層面，軟件供應(yīng)鏈攻擊都會(huì)帶來不可彌補(bǔ)的危害，而且危害一旦發(fā)生都是不可逆DevOps架和方法更側(cè)重于軟件交付速度和可靠性的實(shí)現(xiàn)。但是，現(xiàn)代開發(fā)框架缺乏相關(guān)指導(dǎo)，無法幫助企業(yè)組織了解其軟件的威脅、評(píng)估代碼和進(jìn)程，經(jīng)常會(huì)忽略可能影響其應(yīng)用完整性的外部因素，例如，開源軟件包的攻擊會(huì)影除此之外，不同周期階段發(fā)生的軟件供應(yīng)鏈攻擊事件眾多，如下重點(diǎn)簡述自“棱鏡計(jì)劃”事攻擊者注入測試代碼Solorigate后門被編譯及發(fā)布TearDrop攻擊載荷被觸發(fā)攻擊者注入測試代碼Solorigate后門被編譯及發(fā)布TearDrop攻擊載荷被觸發(fā)網(wǎng)絡(luò)攻防日趨常態(tài)化以來，安全威脅的種類也日漸增多。針對(duì)軟件供應(yīng)鏈攻擊的事件越來越多，呈頻發(fā)狀Urgent/11安全漏洞、Equifax信息泄露是其中較為典型的幾個(gè)事件案例，以下本白皮書針對(duì)這幾個(gè)事件做詳2020年12月，全球多家網(wǎng)絡(luò)安全公司發(fā)布報(bào)告，聲稱SolarWinds公司旗下Orion平臺(tái)遭到黑客入侵。SolarWinds遭遇的黑客攻擊事件被命名為“Sunburst”，這是一次高度復(fù)雜的供應(yīng)鏈攻擊。也是一場全球性由于軟件的性質(zhì)以及擴(kuò)展的Sunburst惡意軟件可以訪問整個(gè)網(wǎng)絡(luò)，許多政府及企業(yè)網(wǎng)絡(luò)和系統(tǒng)都面臨著重大了。攻擊者嘗試訪問SolarWindsSolorigate后門被分發(fā)攻擊者將惡意組件從SolarWinds構(gòu)建環(huán)境攻擊者停止注入測試攻擊者停止注入測試代碼政府部門遭到入侵 事件披露攻擊過程事件披露 2020.2.202FireEye公司披露此攻擊事件SolarWinds公司股價(jià)一發(fā)近二十億美元段：第一階段第三階段SunspottrikeSunburst第一階段第三階段SunspottrikeSunburst第第二階段urstpbproxydllUnknownPyInstallerurstpbproxydll .8.8 nownzdll7-zipextractedDSI傳播方式t-荷格式僅shellcode載荷嵌入方式加密方式壓縮方式混淆方式插入垃圾代碼塊非功能代碼延遲執(zhí)行名稱與Tcl/Tkprojects一致ke該次攻擊一個(gè)顯著特點(diǎn)是，在第二階段使用的惡意軟件是為了引出第三階段定制的CobaltStrike工具。的“紅隊(duì)”平臺(tái)，此滲透測試平臺(tái)在以往的攻擊中也有集成應(yīng)用，極具代表性。SolarWinds蓋2019年，VxWorks官方發(fā)布了安全漏洞公告，在所有的漏洞中有6個(gè)可導(dǎo)致遠(yuǎn)程代碼執(zhí)行(RCE)漏洞，其中VxWorks布它被美國宇航局的洞察號(hào)火星登陸任務(wù)使用97%的URGENT/11和80%的VxWorks布它被美國宇航局的洞察號(hào)火星登陸任務(wù)使用作系統(tǒng)Armis公開披露了影響風(fēng)到防火墻和打印機(jī)，再到飛機(jī)，火車等等都有廣泛應(yīng)用。它以其良好的可靠性和卓越的實(shí)時(shí)性被廣泛地應(yīng)用在通信、軍事、航空、航天等高精尖技術(shù)及實(shí)時(shí)性要求極高的領(lǐng)域中，如衛(wèi)星通訊、軍事演習(xí)、彈道制導(dǎo)、飛機(jī)VOIP病人監(jiān)護(hù)儀核磁共振防火墻打印機(jī)VOIP病人監(jiān)護(hù)儀核磁共振防火墻打印機(jī)云打印云打印服務(wù) DNS服務(wù)器(已被網(wǎng)絡(luò)攻擊者控制)網(wǎng)絡(luò)攻擊者作為此場景的示例，請(qǐng)考慮對(duì)從安全網(wǎng)絡(luò)中連接到云的IoT設(shè)備(例如Xerox打印機(jī))的攻擊。打印機(jī)不直接暴露在互聯(lián)網(wǎng)上，因?yàn)樗艿椒阑饓蚇AT的保護(hù)，通過它連接到云應(yīng)用程序。攻擊者可以攔截打印機(jī)與云的TCP連接(不考慮TLS)并觸發(fā)打印機(jī)上的URGENT/11RCE漏洞之一，從而完全控制它。為了攔截TCP連在這種情況下，由于先前的攻擊(例如上述情況)，攻擊者已經(jīng)位于網(wǎng)絡(luò)中，可以發(fā)送能夠完全控制設(shè)備的目標(biāo)VxWorks設(shè)備數(shù)據(jù)包，而無需用戶交互。此外，攻擊者不需要任何有關(guān)目標(biāo)設(shè)備的先驗(yàn)信息，因?yàn)樽鳛檫@種攻擊的一個(gè)例子，考慮一個(gè)只有內(nèi)部網(wǎng)絡(luò)連接的關(guān)鍵設(shè)備：醫(yī)院的病人監(jiān)護(hù)儀。即使它沒有連接到Internet，但通過滲透網(wǎng)絡(luò)，攻擊者仍然可以接管它。雖然人們可能認(rèn)為將設(shè)備隱藏在安全網(wǎng)絡(luò)中就足夠了，那樣，其中詳細(xì)說明了攻擊者如何使用URGENT/11滲URGENT，無需任何偵察工作，將其關(guān)閉以Equifax，導(dǎo)致5月份黑客利用這個(gè)漏洞進(jìn)行攻擊，泄2017.02.14一名安全研究員發(fā)現(xiàn)了Struts漏洞，并通過其安全郵件列表向Apache報(bào)告了該漏洞2017.03.07Apache2017.03.07ApacheStruts項(xiàng)目管理委員會(huì) ts且該漏洞被評(píng)為10分2017.03.08國土安全部的計(jì)算機(jī)安全應(yīng)急小組(U.S.-CERT)向Equifax發(fā)出了一份關(guān)于需要修補(bǔ)ApacheStruts漏洞的通知2017.03.14Equifax的應(yīng)急威脅小組發(fā)布了一Snort擊Equifax的對(duì)抗小組將67個(gè)新的SSL證書上傳到數(shù)據(jù)中心的SSLVisibility(2017.03.14Equifax的應(yīng)急威脅小組發(fā)布了一Snort擊2017.08.022017.03.10攻擊者利用該漏洞并執(zhí)行了他潛在受影響的服務(wù)器Equifax聘請(qǐng)網(wǎng)絡(luò)2017.03.10攻擊者利用該漏洞并執(zhí)行了他潛在受影響的服務(wù)器2017.03.09Equifax2017.03.09EquifaxGTVM對(duì)漏洞級(jí)到指定的Struts2版本Mandiant安全公司首先確認(rèn)了攻擊者對(duì)用戶PII數(shù)據(jù)的訪問2017.09.07Equifax宣布公司發(fā)生了一起“碼和182000份用戶信用報(bào)告申訴文件2017.09.01x通知的計(jì)劃2017.08.17Equifax已經(jīng)確定有大量的用戶數(shù)被入侵系統(tǒng)ACIS的業(yè)務(wù)負(fù)責(zé)人、師一起討論了調(diào)查結(jié)果20EquifaxACISEquifax后門程序，用于遠(yuǎn)程控制。(Webshell是一種后門程序，攻擊者通過它可以隨時(shí)重新進(jìn)入這臺(tái)服務(wù)器，可以使用文件系統(tǒng)、進(jìn)行數(shù)據(jù)庫操作，方便執(zhí)行系統(tǒng)命令，并提供文件上載/下載功能；在后續(xù)的攻擊過程中，攻個(gè)不同種類的Webshell)。隨后，攻擊者通過掛載NFS(網(wǎng)絡(luò)文件系統(tǒng))共享，由于Equifax未對(duì)存儲(chǔ)中的文件進(jìn)行訪問控制，攻擊者獲取到了敏感的配置文件，包括未加密的應(yīng)用程序使用的連接數(shù)據(jù)庫的用戶名和密碼。攻擊者成功使用這些憑證攻擊者在這些數(shù)據(jù)庫上運(yùn)行了大約9000個(gè)查詢，這些查詢包括對(duì)數(shù)據(jù)庫元數(shù)據(jù)的查詢，以發(fā)現(xiàn)表中包含的信攻擊者將265次成功查詢的PII數(shù)據(jù)輸出存儲(chǔ)在文件中，壓縮并放置在一個(gè)可訪問的Web目錄中。在遠(yuǎn)程通過Wget工具下載了這些文件，成功將數(shù)據(jù)從Equifax竊取。整個(gè)攻擊過程，攻擊者使用了大約35個(gè)不同的攻擊持續(xù)了76天，然后才被Equifax的員工發(fā)現(xiàn)。原因是Equifax有安全設(shè)備可以監(jiān)控到網(wǎng)絡(luò)里的異常流量，包括它們之前更新了規(guī)則的入侵檢測與防御系統(tǒng)。但是這些安全設(shè)備的前面還有一個(gè)SSL解密設(shè)備SSLVisibility(SSLV)，用于將加密的流量解密后發(fā)給檢測和防護(hù)系統(tǒng)進(jìn)行分析識(shí)別。但是，在事件發(fā)生時(shí)，SSL解密設(shè)備上的證書已經(jīng)過期了，根據(jù)設(shè)備的配置，證書過期不會(huì)影響流量的正常傳輸，但是卻會(huì)影響入侵檢測m外部訪問內(nèi)部服務(wù)器入侵檢測和防御系統(tǒng)Equifax在泄露事件之后增加了IT和網(wǎng)絡(luò)安全支出，2017年11月，公司臨時(shí)首席執(zhí)行官PaulinodoRegoioNioN后門事件“隱魂”“核彈級(jí)”Janus漏洞ztcdnpowercdn 中高232021年12月，ApacheLog4j2遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2021-44832)。在某些特殊場景下(如系統(tǒng)采用動(dòng)態(tài)加載遠(yuǎn)程配置文件的場景等)，有權(quán)修改日志配置文件的攻擊者可以構(gòu)建惡意配置，通過JDBCAppender引I可利用這些漏洞攻陷目標(biāo)設(shè)備并以最高權(quán)限執(zhí)行任意代碼。SDK用于至少65家2021年2月，一名安全研究人員使用一種新穎的攻擊技術(shù)攻破了微軟、蘋果、優(yōu)步和特斯拉等公司的系統(tǒng)。2018年6月，華碩電腦攻擊事件。一場名為shadowwhammer的攻擊瞄準(zhǔn)了華碩電腦的用戶。賽門鐵克致應(yīng)用的升級(jí)安裝可能被惡意篡改。同樣，隨著越來越多的應(yīng)用采用熱補(bǔ)丁的方式更新應(yīng)用代碼，惡意開發(fā)者Arris5個(gè)安全漏洞，其中有3個(gè)是硬編碼后門賬號(hào)漏洞。攻擊者利用三個(gè)后門賬號(hào)t“隱魂”木馬。感染MBR(磁盤主引導(dǎo)記錄)的“隱魂”木馬捆綁在大量色情播放器的安裝包持瀏覽器主頁，并安插后門實(shí)現(xiàn)遠(yuǎn)程控制。短短兩周內(nèi)，“隱魂”木馬的攻擊量已達(dá)上252017年8月，惡性病毒“Kuzzle”。該病毒感染電腦后會(huì)劫持瀏覽器首頁牟利，同時(shí)接受病毒作者的遠(yuǎn)程指tcdn重定向至惡意軟件并執(zhí)行。惡意軟件會(huì)在表面上正常安裝知名軟件客戶端的同時(shí)，另外在后臺(tái)偷偷下載安裝推全公司Modzero的研究人員在檢查WindowsActiveDomain的基礎(chǔ)設(shè)施時(shí)發(fā)現(xiàn)惠普音頻驅(qū)動(dòng)中存在一個(gè)內(nèi)置鍵盤記錄器監(jiān)控用戶的所有按鍵輸入。研究人員指出，惠普的缺陷代碼(CVE-2017-8360)不但會(huì)抓取特殊鍵，而且還會(huì)記錄每次按鍵并將其存2017年1月，某加固服務(wù)被爆出夾帶廣告。該加固服務(wù)在加固應(yīng)用時(shí)，會(huì)在開發(fā)者不知情的情況下植入代碼t攻擊，并且以Root權(quán)限執(zhí)行任意代碼以此來獲得對(duì)Android設(shè)備的絕對(duì)控制權(quán)，其主要原因是因?yàn)樵O(shè)備在2016年7月，Toxik病毒。該病毒將自身偽裝成流行軟件(游戲修改器、系統(tǒng)周邊工具等)在下載站中進(jìn)行傳播，在用戶運(yùn)行后，該病毒會(huì)利用國內(nèi)某知名互聯(lián)網(wǎng)公司的軟件升級(jí)程序(WPS升級(jí)程序)下載推廣軟件，使用的操作系統(tǒng)具有重大安全風(fēng)險(xiǎn)，建議盡快升級(jí)相關(guān)版本。根據(jù)聲明，設(shè)備的SSH登錄系統(tǒng)在輸入任意用FFmpeg視頻或在轉(zhuǎn)碼過程中觸發(fā)本地文件，讀取2015年9月，Xcode非官方版本惡意代碼污染事件。攻擊者通過向非官方版本的Xcode注入病毒Xcode2015年2月，“方程式”組織(EquationGroup)擁有一套用于植入惡意代碼的超級(jí)信息武器庫(在卡巴的報(bào)告中披露了其中6個(gè))，其中包括兩個(gè)可以對(duì)數(shù)十種常見品牌的硬盤固件重編程的惡意模塊，這可能是該組范圍廣隱蔽性強(qiáng)危害損失大溯源困難發(fā)酵周期長攻擊面廣攻擊范圍廣隱蔽性強(qiáng)危害損失大溯源困難發(fā)酵周期長攻擊面廣攻擊通過懸鏡安全實(shí)驗(yàn)室對(duì)近5年的43次軟件供應(yīng)鏈安全事件做的系統(tǒng)性整理、分析和研究，得出以下軟件供應(yīng)傳傳播性強(qiáng)軟軟件供應(yīng)鏈風(fēng)險(xiǎn)特征效效率高軟件供應(yīng)鏈簡單拆分為軟件設(shè)計(jì)開發(fā)環(huán)節(jié)、軟件分發(fā)和用戶下載的交付環(huán)節(jié)、以及用戶的使用環(huán)節(jié)，這三大環(huán)節(jié)環(huán)環(huán)相扣構(gòu)成其鏈狀結(jié)構(gòu)。這種鏈狀結(jié)構(gòu)中每個(gè)環(huán)節(jié)都面臨著安全風(fēng)險(xiǎn)，致使攻擊面多，隨著軟件供應(yīng)鏈的暴露面越來越多，攻擊者利用其攻擊的情況也就越來越多，對(duì)于上下游“感染”的機(jī)率也會(huì)更大，使得傳播影IT通信(互聯(lián)網(wǎng))、高校、工業(yè)制造、金融、政府、醫(yī)療衛(wèi)生、運(yùn)營商等幾乎所有行業(yè)都受到波及。上文提到軟件供應(yīng)鏈涉及對(duì)象眾多，如軟件供應(yīng)商、下游用戶等比較多，當(dāng)軟件供應(yīng)鏈遭受攻擊時(shí)，容易對(duì)上下游帶來過軟件供應(yīng)鏈的上下游關(guān)系，對(duì)其它鏈條的對(duì)象發(fā)起裂變式惡意攻擊。比如從上游開28波及軟件供應(yīng)鏈的中下游，從過往案例看，此類惡意攻擊的效果比較明顯，推至新高，無論從規(guī)模、影響力和潛在威脅性來看，都堪稱過去十年最重大的網(wǎng)絡(luò)安全事件。這些攻擊事件都將攻擊行為上升到了國家高度，對(duì)被攻擊國家的大型機(jī)構(gòu)、基礎(chǔ)設(shè)施以及大型企業(yè)等帶來了威脅且規(guī)模龐大，這類攻擊對(duì)國家戰(zhàn)略布局都有深遠(yuǎn)影響，這也是軟件供應(yīng)鏈攻擊的危害之處，也是近年來備受黑客青睞的攻擊觀察發(fā)現(xiàn)，軟件供應(yīng)鏈攻擊的方式多樣，通常不具有一致性，從近年來發(fā)生的多起典型軟件供應(yīng)鏈?zhǔn)录涂梢裕?015年9月的XcodeGhost開發(fā)工具污染事件，造成至少692種APP受污染，過億用戶受影響，受影響的包括了微信、滴滴、網(wǎng)易云音樂等著名應(yīng)用。2017年9月的CCleaner惡意代碼植入事件，感染全球索病毒事件，使得政府、銀行、電力系統(tǒng)、通訊系統(tǒng)等都不同程度地受到了影響。部分事件在2.1小節(jié)中也有軟件供應(yīng)鏈的鏈狀結(jié)構(gòu)特點(diǎn)使其每個(gè)環(huán)節(jié)面臨不同的安全風(fēng)險(xiǎn)，自然衍生出不同的攻擊手法，例如，針對(duì)開發(fā)環(huán)節(jié)的源代碼和開發(fā)工具污染，針對(duì)交付環(huán)節(jié)的下載網(wǎng)站和軟件更新網(wǎng)站攻擊，針對(duì)使用環(huán)節(jié)的升級(jí)更新劫持等。攻擊者針對(duì)各環(huán)節(jié)的不同脆弱點(diǎn)實(shí)施不同攻擊，再依賴供應(yīng)鏈上的信任關(guān)系以逃避傳統(tǒng)安全產(chǎn)品的檢查，觀漏洞事件軟件供應(yīng)鏈攻擊往往是通過騙取機(jī)構(gòu)之間的信任，在用戶和開發(fā)者毫無感知的情況下實(shí)施攻擊行為產(chǎn)生巨大的安全威脅。在軟件開發(fā)環(huán)節(jié)中，對(duì)于源代碼、庫的篡改或偽造是很難發(fā)現(xiàn)的，這些披著“合法”外極強(qiáng)的隱蔽性。為發(fā)起感染的位置，并選擇非常深層次的調(diào)用堆棧，以降低代碼重構(gòu)期被發(fā)現(xiàn)的可能性，同時(shí)在編碼上，高度軟件供應(yīng)鏈風(fēng)險(xiǎn)典型特征中包括發(fā)酵周期長這一典型特征，披露出的安全漏洞修復(fù)，但發(fā)布的漏洞代碼依舊可由于大量引入開源組件成為了快速響應(yīng)客戶需求、提高軟件開發(fā)效率、節(jié)省開發(fā)時(shí)間的主流解決方案，安全風(fēng)險(xiǎn)也隨之而來。隨著開源組件的規(guī)模越來越大，軟件供應(yīng)鏈的復(fù)雜度增大，當(dāng)爆發(fā)出安全漏洞事件時(shí)，難以溯源到并修復(fù)存在安全漏洞的組件。并且一旦軟件中一個(gè)供應(yīng)鏈環(huán)節(jié)使用了含有安全缺陷的開源軟件，并且被編譯為可執(zhí)行代碼后，由于代碼使用者無法修改這些含有安全缺陷的可執(zhí)行軟件，導(dǎo)致軟件供應(yīng)鏈的這個(gè)環(huán)節(jié)永dsKevinKevinMandia(FireEyeCEO)：“我們投入了100名左右的人員，總共進(jìn)行了10000小時(shí)的詳細(xì)調(diào)查，我們依舊不知道攻擊者的入侵路徑。因此我們只好更進(jìn)一步，反編譯了18000個(gè)更新文件，3500個(gè)可執(zhí)這就是為什么我們這么難以發(fā)現(xiàn)它?！庇纱酸槍?duì)軟件采用供應(yīng)鏈溯源技術(shù)愈加重要，通過建立全球開源軟件的傳播態(tài)勢感知和預(yù)警機(jī)制，攻克軟件供應(yīng)鏈中軟件來源電子標(biāo)簽技術(shù)，實(shí)現(xiàn)對(duì)供應(yīng)鏈各環(huán)節(jié)中軟件來源的溯源機(jī)制，以解決軟件供應(yīng)鏈安全風(fēng)險(xiǎn)難溯以及與這些模塊相關(guān)的供應(yīng)鏈上游供應(yīng)商的編碼過程、開發(fā)工具和設(shè)備，致使攻擊面增多，大大增加了攻擊途隨著軟件供應(yīng)鏈攻擊面的增大，在軟件供應(yīng)鏈攻擊中攻擊者僅需對(duì)某一薄弱環(huán)節(jié)進(jìn)行軟件攻擊或篡改，就可能引起引起軟件供應(yīng)鏈安全問題，產(chǎn)生巨大的安全危害。而這種投入產(chǎn)出比高的攻擊特點(diǎn)，一直是網(wǎng)絡(luò)攻擊者熱到影響。2021年堪稱“核彈級(jí)”的安全漏洞事件Log4j2.x，其危害程度極高，影響范圍巨大，但利用方式十分簡單直接，攻擊者僅需向目標(biāo)輸入一段代碼，不需要用戶執(zhí)行任何多余操作即可觸發(fā)該漏洞，使攻擊者可以軟件供應(yīng)鏈攻擊往往不是針對(duì)性的，更多是機(jī)會(huì)性的，攻擊者通常不會(huì)通過目標(biāo)逆向，找到軟件的供應(yīng)商，進(jìn)而展開一系列攻擊。更多是在不同的階段，尋找合適的機(jī)會(huì)發(fā)起攻擊。比如，在開發(fā)過程中，軟件開發(fā)人員經(jīng)常使用開源代碼庫來構(gòu)建應(yīng)用程序，當(dāng)攻擊者將惡意代碼插入到可公開訪問的代碼庫中時(shí)，惡意代碼將植入到當(dāng)開發(fā)人員使用代碼庫中的代碼時(shí)，惡意代碼將會(huì)被植入，攻擊者便可以通過此類惡意代碼對(duì)目標(biāo)展開攻擊，進(jìn)而造成嚴(yán)重危害。根據(jù)2021年開源安全與風(fēng)險(xiǎn)分析(OSSRA)報(bào)告顯示，84%的代碼庫至少圖2-14開源安全與風(fēng)險(xiǎn)分析(OSSRA)報(bào)告數(shù)據(jù)實(shí)，但是如果同樣的關(guān)注正在尋找的是可以利用的漏洞呢？我們至今無法逃脫另一個(gè)人類社會(huì)的事實(shí)：并非所有人都懷抱善意。任何擁有GitHub帳戶的人都可以向關(guān)鍵庫貢獻(xiàn)代碼，這吸引了很多偉大的貢獻(xiàn)者，但也摻這些行為通常是隱蔽的。在一些攻擊事件中，我們看到攻擊者會(huì)申請(qǐng)為少數(shù)管理員進(jìn)行維護(hù)的開源項(xiàng)目或庫貢獻(xiàn)自己的代碼，這些開源項(xiàng)目雖然維護(hù)者不多，但在某一些領(lǐng)域相對(duì)流行，甚至?xí)灰恍┐笮推髽I(yè)的開發(fā)團(tuán)隊(duì)所采用。由于管理人員較少，項(xiàng)目的擁有者通常很愿意接納新的維護(hù)申請(qǐng)，并對(duì)提交的代碼疏于防范。此時(shí)攻擊者悄悄植入惡意代碼和腳本，就成為了自然而然的事情。這些有意植入的開源漏洞助長了攻擊者對(duì)開源軟件在《軟件供應(yīng)鏈安全白皮書(2021)》中針對(duì)軟件供應(yīng)鏈安全風(fēng)險(xiǎn)進(jìn)行了分析，從軟件供應(yīng)鏈風(fēng)險(xiǎn)現(xiàn)狀、風(fēng)險(xiǎn)因素、軟件供應(yīng)鏈的漏洞類型、軟件供應(yīng)鏈的攻擊類型四個(gè)維度為大家描述了軟件供應(yīng)鏈的安全風(fēng)險(xiǎn)。此次基1.軟件依賴進(jìn)口，源頭難以控制建設(shè)中關(guān)鍵軟件技術(shù)方面還無法實(shí)現(xiàn)完全自主研發(fā)可控，諸多核心行業(yè)的關(guān)鍵基礎(chǔ)軟件長期依賴進(jìn)口，這為我國的軟件供應(yīng)鏈安全留下了難以估量的安全隱患。軟件供應(yīng)鏈上的任一環(huán)節(jié)出現(xiàn)問題，都有可能帶來嚴(yán)重的安全風(fēng)險(xiǎn)，在國家關(guān)鍵基礎(chǔ)設(shè)施中過度使用從國外引進(jìn)的技術(shù)或軟件產(chǎn)品，將加大我國軟嚴(yán)重的隱患。除此之外，西方大國還借助其在部分IT領(lǐng)域的技術(shù)優(yōu)勢，在相關(guān)軟硬件產(chǎn)品內(nèi)預(yù)置后門，通過我國進(jìn)口其軟件產(chǎn)品將安全威脅帶入國內(nèi)，非法獲取我國重要的信息數(shù)據(jù)。因此，長期依賴軟件進(jìn)口，將難以從軟件生產(chǎn)的源頭進(jìn)行安全治理，會(huì)加劇我國軟件供應(yīng)鏈所面臨的安全風(fēng)險(xiǎn)，影響我國推進(jìn)軟件供應(yīng)鏈安全的進(jìn)程，甚至?xí)榱思涌鞓I(yè)務(wù)創(chuàng)新，應(yīng)用開源技術(shù)提高開發(fā)效率已經(jīng)成為企業(yè)的主流選擇，但也導(dǎo)致企業(yè)對(duì)復(fù)雜的軟件供應(yīng)鏈的依賴日益增加。盡管開放源碼組件具有許多優(yōu)點(diǎn)，但它的廣泛應(yīng)用也帶來了新的安全挑戰(zhàn)，一方面由于開發(fā)者自身安全意識(shí)和技術(shù)水平不足容易產(chǎn)生軟件安全漏洞，另一方面也無法避免惡意人員向開源軟件注入木馬程n2021年全球軟件供應(yīng)鏈攻擊增加了650%。開源漏洞在流行項(xiàng)目中最為普遍，29%的流行項(xiàng)目至少包含一個(gè)。足由于安全與敏捷開發(fā)往往呈對(duì)立關(guān)系，開發(fā)者為了提高效率，往往會(huì)忽視掉軟件供應(yīng)鏈的安全性，安全保障過安全漏洞，給業(yè)務(wù)系統(tǒng)帶來安全風(fēng)險(xiǎn)。業(yè)務(wù)系統(tǒng)中水平/垂直越權(quán)、批量注冊(cè)、業(yè)務(wù)接口亂序調(diào)用等業(yè)務(wù)邏輯露或系統(tǒng)中斷問題。而且，企業(yè)對(duì)軟件供應(yīng)鏈安全技術(shù)研發(fā)的投入遠(yuǎn)遠(yuǎn)不夠，敏捷開發(fā)與快速迭代導(dǎo)致企業(yè)往往在加快開發(fā)進(jìn)度的同時(shí)忽略掉部分安全隱患和響應(yīng)效率，來彌補(bǔ)開發(fā)過程中時(shí)間的匱乏。高速運(yùn)轉(zhuǎn)的敏捷開發(fā)運(yùn)營模式將傳統(tǒng)的安全工作甩在身后，僅在上線運(yùn)行階段開展安全風(fēng)險(xiǎn)控制工作，已無法防御由網(wǎng)絡(luò)技術(shù)發(fā)展帶來的各項(xiàng)安全威企業(yè)軟件供應(yīng)鏈管理制度不完善，缺乏針對(duì)軟件生產(chǎn)等重要環(huán)節(jié)的管控措施。而且，企業(yè)軟件供應(yīng)鏈透明度不高，安全評(píng)估缺失，難以依據(jù)安全風(fēng)險(xiǎn)劃分供應(yīng)商的安全等級(jí)，從而進(jìn)行針對(duì)性的安全管理。包括部分企業(yè)開源代碼管理機(jī)制尚不完善，在軟件開發(fā)過程中，隨意使用開源組件的現(xiàn)象屢見不鮮，管理者和程序員無法列出極大的安全挑戰(zhàn)。5.網(wǎng)安意識(shí)薄弱，缺少安全培訓(xùn)網(wǎng)絡(luò)安全歸根結(jié)底是“人”的安全。公司的員工是抵御網(wǎng)絡(luò)攻擊的第一道防線，當(dāng)對(duì)員工沒有進(jìn)行定期的網(wǎng)絡(luò)識(shí)的情況下缺少對(duì)敏感數(shù)據(jù)潛在攻擊的識(shí)別能力，極易通過人而造成攻擊逐漸形成主流趨勢，不斷推動(dòng)著深度信息技術(shù)的創(chuàng)新發(fā)展，，針對(duì)軟件供應(yīng)鏈薄弱環(huán)節(jié)的網(wǎng)絡(luò)攻擊隨之增加。除了國際層面上軟件供應(yīng)鏈全管理制度不完善等外部因素外，由云原生和開源帶來的下一代軟件作為業(yè)務(wù)應(yīng)用程序的重要組成部分，開源軟件已成為網(wǎng)絡(luò)空間的重要基礎(chǔ)設(shè)施。作為創(chuàng)新的基礎(chǔ)，開源軟件需為實(shí)現(xiàn)企業(yè)業(yè)務(wù)的快速開發(fā)和科技的創(chuàng)新，從根本上要求開發(fā)人員頻繁而有效地重用代碼，從而又導(dǎo)致了開發(fā)人員對(duì)第三方開源組件的嚴(yán)重依賴。開源軟件的大量使用幫助企業(yè)加速了軟件開發(fā)的生命周期，降低了開發(fā)成本，但同時(shí)也帶來了兩大安全風(fēng)險(xiǎn)：嵌入到開發(fā)流程中的安全漏洞風(fēng)險(xiǎn)和構(gòu)成法律或知識(shí)產(chǎn)權(quán)(IP)風(fēng)險(xiǎn)的許因其開放、自由、共享等特性，開源技術(shù)可以從代碼托管平臺(tái)、技術(shù)社區(qū)、開源機(jī)構(gòu)官方網(wǎng)站等渠道獲取，或通過合作研發(fā)、商業(yè)采購等方式引入開源代碼、開源組件、開源軟件和基于開源技術(shù)的云服務(wù)等。開源社區(qū)參與者廣泛分布于全球各地，沒有中央權(quán)威來收錄漏洞信息，保證開源軟件的質(zhì)量和維護(hù)。開發(fā)人員不了解開源大部分軟件開發(fā)人員在引入第三方庫的時(shí)候，并沒有關(guān)注引入組件是否存在安全隱患或者缺陷，并且由于開源軟件之間的關(guān)聯(lián)依賴關(guān)系錯(cuò)綜復(fù)雜，一旦開源軟件存有惡意代碼或病毒，將會(huì)產(chǎn)生蝴蝶效應(yīng)，導(dǎo)致所有與之存在關(guān)聯(lián)依賴關(guān)系的其他軟件系統(tǒng)出現(xiàn)同樣的漏洞，漏洞的攻擊面由點(diǎn)及面呈現(xiàn)出爆炸式的放大效果，給用戶帶37開源軟件對(duì)用戶是免費(fèi)的，但并不意味著可以在不遵守其它義務(wù)的情況下使用。隨著開源技術(shù)的發(fā)展，結(jié)合各自需要，開源軟件一般都有對(duì)應(yīng)的開源許可證(OpenSourceLicense)，用以對(duì)軟件的使用、復(fù)制、修改和再發(fā)布等進(jìn)行限制。常見的開源軟件許可證根據(jù)開放程度可以大致分為兩大類：寬松自由軟件許可協(xié)議 包括MIT、Apache、BSD等，允許用戶自由復(fù)制、修改、許可和再許可代碼，開源軟件源代碼變更或衍生軟件可以變?yōu)閷Ｓ熊浖恢鳈?quán)許可證包括GPL許可證、MPL許可證和LGPL許可證等，強(qiáng)制要求公開源代碼不了解開源軟件的知識(shí)產(chǎn)權(quán)或未按照開源許可證使用開源軟件，很可能侵犯他人知識(shí)產(chǎn)權(quán)，引起法律糾紛，面臨重大風(fēng)險(xiǎn)。同時(shí)開源軟件可能存在層層依賴關(guān)系，企業(yè)組織在使用開源過程中不斷加入新的開源組件，可能鏡像構(gòu)建鏡像傳輸DE鏡像倉庫鏡像構(gòu)建鏡像傳輸DE鏡像倉庫降低了運(yùn)營成本，然而云原生技術(shù)的發(fā)展極度加大了軟件供應(yīng)鏈的復(fù)雜性，為軟件供應(yīng)鏈帶來了新技術(shù)風(fēng)險(xiǎn)和程序更快更可靠的大規(guī)模交付，同時(shí)開發(fā)人員出于對(duì)速度和效率的追求，經(jīng)常會(huì)利用開源項(xiàng)目的框架進(jìn)行二次開發(fā)或引用開源組件，在云環(huán)境中，這些組件常以基礎(chǔ)鏡像的方式在軟件供應(yīng)鏈里傳遞，并上傳至鏡像倉庫，從而被容器所使用。若開源組件和框架中存在安全漏洞，那么鏡像軟件就有可能存在漏洞，鏡像文件完整性被破壞，鏡像文件遭受惡意配置或者更改(比如上傳或者下載過程被修改，植入后門)導(dǎo)致容器被利用勢必會(huì)引云原生時(shí)云原生時(shí)代下鏡像的使用鏡像運(yùn)行/升級(jí)K8s運(yùn)行時(shí)成熟經(jīng)濟(jì)體中85%的大型企業(yè)將更多地使用容器管理，遠(yuǎn)高于2022年的30%。容器化的使用，使得應(yīng)用部Ks的第三方依賴，導(dǎo)致漏洞利用、容云生態(tài)。近年來，全球范圍內(nèi)有關(guān)軟件供應(yīng)鏈安全的攻擊事件層出不斷，對(duì)個(gè)人、企業(yè)，甚至國家安全都造成了嚴(yán)重威常大，讓企業(yè)組織意識(shí)到做好軟件供應(yīng)鏈威脅治理迫在眉睫。但在軟件供應(yīng)鏈治理的過程中，存在一些難點(diǎn)會(huì)1.“理不清”企業(yè)不清楚在系統(tǒng)中使用了多少第三方軟件和組件。目前很多企業(yè)的現(xiàn)狀是，在每一次快速迭代和快速發(fā)布過程中，都會(huì)引入一部分第三方組件，但是由于團(tuán)隊(duì)多、涉及的業(yè)務(wù)范圍廣，導(dǎo)致無法清楚地知道具體使用了哪些。而且，第三方組件通常又會(huì)依賴其它更多組件，多級(jí)依賴關(guān)系使得整個(gè)組件結(jié)構(gòu)更加復(fù)雜，這種結(jié)構(gòu)的安2.“看不見”企業(yè)在使用第三方組件的過程中，不知道它們中有的已產(chǎn)生過安全漏洞和知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)。很多企業(yè)會(huì)使用非常老的組件和軟件，其中很多爆發(fā)過安全漏洞，但沒有及時(shí)去更新。對(duì)于這些已知漏洞的風(fēng)險(xiǎn)隱患，企業(yè)無法獲3.“找不到”企業(yè)在第三方組件出現(xiàn)漏洞的時(shí)候，無法快速地定位受影響的組件以及評(píng)估影響的范圍。例如在Log4j2事件嚴(yán)峻。4.“治不了”漏洞影響的范圍以及受影響的組件并定位到具體項(xiàng)目后，就需要進(jìn)行相關(guān)治理工作，對(duì)組件進(jìn)行相應(yīng)的評(píng)估、緩解和修復(fù)。當(dāng)前很多企業(yè)缺乏軟件供應(yīng)鏈安全治理相關(guān)知識(shí)、技能和工具，對(duì)風(fēng)險(xiǎn)緩解的方法粗戰(zhàn)和治理痛點(diǎn)，很多機(jī)構(gòu)推出了針對(duì)軟件供應(yīng)鏈的安全級(jí)別)解決方案，旨在確保軟件開發(fā)和部署過程的安全性，專注于緩解由于篡改源代碼、構(gòu)建平臺(tái)或構(gòu)件倉庫A面與最佳實(shí)踐列表有所不同：它將支持自動(dòng)創(chuàng)建可審核元數(shù)據(jù)，這些元數(shù)據(jù)可以輸入到策略引擎中，以便為特 (1)非單方面：任何人都不能修改軟件供應(yīng)鏈中任何地方的軟件制品，除非經(jīng)過至少一個(gè)其他“受信任的人”的明確審查和批 (2)可審計(jì)：軟件制品可以安全透明地追溯到原始的、人類可讀的來源和依賴項(xiàng)。主要目的是自動(dòng)分析來源和依賴關(guān)系，以盡管并不完美，但這兩個(gè)原則為廣泛的篡改、混淆和其他供應(yīng)鏈攻擊提供了實(shí)質(zhì)性的緩解。為了根據(jù)上述兩個(gè)要求構(gòu)建過程完全腳本化/自動(dòng)化，并生成出處。出處是關(guān)于如何構(gòu)建中間件的元數(shù)據(jù)，包括構(gòu)建過程、頂級(jí)源代碼和依賴關(guān)系。了解出處可以讓用戶做出基于風(fēng)險(xiǎn)的安全決策。盡管SLSA1的源代碼不能防止篡改，但需要使用版本控制和生成經(jīng)過身份驗(yàn)證出處的托管構(gòu)建服務(wù)。這些額外的要求使用戶對(duì)軟件的來源有了更大的LSASLSA進(jìn)一步要求源代碼和構(gòu)建平臺(tái)分別滿足特定標(biāo)準(zhǔn)，以保證源代碼的可審計(jì)性和完整性。設(shè)想有這么一個(gè)認(rèn)證過程，通過這個(gè)過程，審計(jì)人員可以證明平臺(tái)符合要求，用戶就可以直接依賴它了。SLSA3通過防御特定類型的威脅(如交叉編譯污染)，提供了比低級(jí)別更強(qiáng)大的防篡改保護(hù)。需要雙人對(duì)所有變更進(jìn)行審查，并且需要一個(gè)封閉的、可復(fù)制的構(gòu)建流程。雙人評(píng)審是一種行業(yè)最佳實(shí)踐，可以發(fā)現(xiàn)錯(cuò)誤并阻止不法行為。封閉的構(gòu)建保證了源代碼的依賴列表是完整的?？蓮?fù)制的構(gòu)建，雖然不是嚴(yán)格要求的，但是提供了許多可審計(jì)性和可靠性的優(yōu)勢。總的來說，SLSA4讓用戶對(duì)軟件沒有SLSA是一個(gè)用于端到端軟件供應(yīng)鏈完整性的實(shí)用框架，基于一個(gè)在世界上最大的軟件工程組織中被證明可以大規(guī)模工作的模型。對(duì)于大多數(shù)項(xiàng)目來說，實(shí)現(xiàn)最高級(jí)別的SLSA可能很困難，但是較低級(jí)別的SLSA所認(rèn)可in-toto是一個(gè)用于保護(hù)軟件供應(yīng)鏈完整性和可驗(yàn)證性的系統(tǒng)。它通過使用戶能夠收集到關(guān)于軟件供應(yīng)鏈行為這些政策可以在部署或安裝軟件之前進(jìn)行驗(yàn)證。簡而言之，它有助于捕獲軟件供應(yīng)鏈中發(fā)生的事情，并確保它·用于生成和設(shè)計(jì)供應(yīng)鏈布局的工具。項(xiàng)目所有者將使用此工具生成所需的供應(yīng)鏈布局文件。其中供應(yīng)鏈布布局包括有序步驟、這些步驟的要求以及負(fù)責(zé)執(zhí)行每個(gè)步驟的參與者(或工作人員)列表。供應(yīng)鏈中的步驟由·一種工具，工作人員可以使用該工具創(chuàng)建有關(guān)步驟的鏈接元數(shù)據(jù)。例如“in-toto-run.py”。其中，鏈接是指執(zhí)行供應(yīng)鏈步驟或檢查時(shí)收集的元數(shù)據(jù)信息，由執(zhí)行該步驟的官員或執(zhí)行檢查的客戶簽名。此元數(shù)據(jù)包括材·客戶用來對(duì)最終產(chǎn)品進(jìn)行驗(yàn)證的工具。此工具使用上述工具生成的所有鏈接和布局元數(shù)據(jù)，它還按照布局項(xiàng)目所有者Alice希望Diana寫一個(gè)Python腳本(foo.py)，且希望Bob將腳本打包成一個(gè)tarball(foo.tar.gzCarl在向Carl提供壓縮包時(shí)，Alice將創(chuàng)建一個(gè)布局文Bob；Alice的布局文件，描述上面列出的要求；(2)一段能夠?qū)?yīng)于Diana編寫腳本的鏈接元數(shù)據(jù)；(3)一段Bob打包腳本步驟的鏈接元數(shù)據(jù)；(4)目標(biāo)文件(foo.tar.gz)也必須包含在最終產(chǎn)品中。據(jù) (步驟鏈接由Dinan和Bob簽名) 據(jù) (步驟鏈接由Dinan和Bob簽名) (1)布局文件存在并使用受信任的密鑰(在本例中為Alice的密鑰)進(jìn)行簽名；(2)布局文件中的每個(gè)步驟都有一個(gè)或多個(gè)由預(yù)期函數(shù)簽名的相應(yīng)鏈接元數(shù)據(jù)文件，如布局文件中所描述的信息(在本例中為Bob和Diana提供的鏈接元數(shù)據(jù))；(3)鏈接元數(shù)據(jù)中列出的所有材料和產(chǎn)品都能夠一一對(duì)應(yīng)起來，正如布局文件描述的信息一樣，防止包在沒有記錄的情況下被更改，或在傳輸過程中被篡改。(在本例中Diana和Bob的材料應(yīng)相匹配)；驟驟 (由工作人員執(zhí)行)write (由用戶執(zhí)行)package軟件供應(yīng)鏈定義package軟件供應(yīng)鏈定義 (Alice簽名的布局文件)write.linkpackage.link0xA0xBtarlink其中可以確保實(shí)體、證據(jù)、政策和制品(軟件或硬件)的真實(shí)性，并且可以保證實(shí)體的行為是經(jīng)過授權(quán)的、不據(jù)不斷變化的威脅模型和實(shí)踐隨著時(shí)間的推移進(jìn)行增強(qiáng)。分階段推出需求以提高供應(yīng)商規(guī)劃和工程的清晰度，制品、證據(jù)和策略流。策略存儲(chǔ)庫策略存儲(chǔ)庫證據(jù)存儲(chǔ)庫用戶代理(d)構(gòu)建可接受的環(huán)境布的包相匹配掃描結(jié)果可接受來源出處可接受第三方包與其負(fù)載相匹配沒有已知的未緩解的作為已批準(zhǔn)開發(fā)人簽署的提交包存儲(chǔ)庫構(gòu)建環(huán)境源代碼管交觸發(fā)構(gòu)建 運(yùn)行環(huán)境用戶代理(d)構(gòu)建可接受的環(huán)境布的包相匹配掃描結(jié)果可接受來源出處可接受第三方包與其負(fù)載相匹配沒有已知的未緩解的作為已批準(zhǔn)開發(fā)人簽署的提交包存儲(chǔ)庫構(gòu)建環(huán)境源代碼管交觸發(fā)構(gòu)建 運(yùn)行環(huán)境策略(c)證據(jù)(b)其中，供應(yīng)商創(chuàng)建制品(a)，認(rèn)證者創(chuàng)建證據(jù)(b)并提交到應(yīng)用商店進(jìn)行日志記錄、查詢和檢索。供應(yīng)商和認(rèn)證者可能是同一實(shí)體。策略管理器創(chuàng)建策略(c)并提交到存儲(chǔ)區(qū)，在其中記錄策略并可供查詢和檢索。用戶代理(d)接收制品(a)，檢索證據(jù)(b)和策略(c)，并驗(yàn)證制品。下圖顯示了SCIM在軟件開發(fā)生命周期(SDLC)中的應(yīng)用示例。人員完成提交簽名證明批準(zhǔn)完成提交簽名證明批準(zhǔn)構(gòu)建觸發(fā)記錄圖4-3SCIM在軟件開發(fā)生命周期(SDLC)中的應(yīng)用軟件供應(yīng)鏈安全框架和模型的建立可以幫助企業(yè)組織理解軟件供應(yīng)鏈安全活動(dòng)的關(guān)鍵要素，從而幫助企業(yè)組織制定相應(yīng)的解決方案，進(jìn)而使組織的軟件供應(yīng)鏈安全逐漸成熟。上述三種軟件供應(yīng)鏈安全治理框架對(duì)比分析如軟件供應(yīng)鏈安全治理框架SLSA框架SCITT框架框架類型安全準(zhǔn)則安全項(xiàng)目行業(yè)標(biāo)準(zhǔn)機(jī)構(gòu)適用范圍軟件供應(yīng)鏈軟件供應(yīng)鏈供應(yīng)鏈可操作性SLSA框架遵循四個(gè)保證級(jí)別以確保完整性intoto遵循低、以確保完整性SCITT框架描述了傳達(dá)證據(jù)的原則和建議要求框架應(yīng)用情況由業(yè)界一致認(rèn)可且逐漸應(yīng)用的實(shí)用性模型應(yīng)用還在制定提議中相同點(diǎn)應(yīng)用上述三種軟件供應(yīng)鏈安全治理框架都可以依靠某種政策或策略從端到端的保障軟件供應(yīng)鏈的完整性、不可否認(rèn)性以及可審計(jì)等，提高了軟件供應(yīng)鏈的透明度及可追溯性。軟件供應(yīng)過程風(fēng)險(xiǎn)治理1.供應(yīng)商資質(zhì)2.開源社區(qū)活躍度1.軟件物料清單2.軟件安全要求3軟件供應(yīng)過程風(fēng)險(xiǎn)治理1.供應(yīng)商資質(zhì)2.開源社區(qū)活躍度1.軟件物料清單2.軟件安全要求3.軟件合規(guī)要求4.安全測試及評(píng)審報(bào)告5.安全監(jiān)護(hù)防護(hù)1.供應(yīng)鏈清單管理2.版本管理3.漏洞管理1.產(chǎn)品及用戶文檔2.服務(wù)水平協(xié)議3.信息安全服務(wù)協(xié)議1.應(yīng)急預(yù)案2.應(yīng)急響應(yīng)團(tuán)隊(duì)軟件供應(yīng)鏈任一環(huán)節(jié)的全可讓每個(gè)個(gè)體受益”的1.培訓(xùn)賦能2.安全績效考核3.最小特權(quán)原則4.零信任原則5.明確規(guī)定安全策略理軟件供應(yīng)鏈作為一個(gè)復(fù)雜、龐大的系統(tǒng)，難免存在薄弱環(huán)節(jié)，這就為攻擊者創(chuàng)造了一個(gè)契機(jī)，攻擊者無需進(jìn)行以軟件供應(yīng)鏈中的薄弱環(huán)節(jié)為攻擊點(diǎn)進(jìn)行軟件攻擊或篡改，發(fā)起軟件供應(yīng)鏈攻擊，引起軟件供應(yīng)鏈安全問題，從而產(chǎn)生巨大的安全危害。因此，保障軟件供應(yīng)鏈安全，若僅僅對(duì)某單一環(huán)節(jié)進(jìn)行安全防護(hù)是遠(yuǎn)遠(yuǎn)不夠的，需從軟件供應(yīng)鏈的供應(yīng)過程及軟件自身安全出發(fā)，基于4.1節(jié)所介紹的軟件供應(yīng)鏈安全治理框架，本報(bào)告構(gòu)建了一套較為全面系統(tǒng)的軟件供應(yīng)鏈安全治理體系，借助安全自動(dòng)化工具，實(shí)現(xiàn)對(duì)軟件軟件供應(yīng)過程風(fēng)險(xiǎn)治理主要是指對(duì)軟件產(chǎn)品由供應(yīng)商運(yùn)輸給最終用戶的這一供應(yīng)過程的風(fēng)險(xiǎn)治理以及供應(yīng)過程中人員(包括供應(yīng)商、管理人員、開發(fā)人員、測試人員、運(yùn)營人員、終端用戶等)的安全管理；軟件開發(fā)生命周期安全風(fēng)險(xiǎn)治理主要指軟件開發(fā)過程中從需求設(shè)計(jì)、開發(fā)測試、發(fā)布運(yùn)營、下線停用等環(huán)節(jié)進(jìn)行全流程的閉運(yùn)營的安全閉環(huán)。 軟件供應(yīng)商 用戶軟件開發(fā)生命周期安全風(fēng)險(xiǎn)治理1.安全需求分析2.安全設(shè)計(jì)原則3.確定安全標(biāo)準(zhǔn)4.攻擊面分析5.安全隱私需求設(shè)計(jì)知識(shí)庫等1.安全編碼2.管理開源及第三方組件安全風(fēng)險(xiǎn)3.變更管理4.代碼安全審查5.配置審計(jì)6.安全隱私測試7.漏洞掃描8.模糊測試9.滲透測試等1.發(fā)布管理2.安全性檢查3.事件響應(yīng)計(jì)劃4.安全監(jiān)控5.安全運(yùn)營6.風(fēng)險(xiǎn)評(píng)估7.應(yīng)急響應(yīng)8.升級(jí)與變更管理9.服務(wù)與技術(shù)支持10.運(yùn)營反饋等1.制定服務(wù)下線方案與計(jì)劃2.明確隱私保護(hù)合規(guī)方案，確保數(shù)據(jù)留存符合最小化原則軟件供應(yīng)過程風(fēng)險(xiǎn)治理軟件供應(yīng)過程風(fēng)險(xiǎn)治理軟件供應(yīng)過程風(fēng)險(xiǎn)治理，主要包括軟件來源管理、軟件安全合規(guī)性管理、軟件資產(chǎn)管理、服務(wù)支持及安全應(yīng)急軟件軟件來源評(píng)估供應(yīng)商資質(zhì)評(píng)估軟件社區(qū)活躍度軟軟件物料清單(SBOM)軟件安全要求軟件合規(guī)要求安全測試評(píng)審報(bào)告軟件安全合規(guī)性供應(yīng)鏈清單管理供應(yīng)鏈清單管理軟件資產(chǎn)版本管理漏洞管理理產(chǎn)品及用戶文檔服務(wù)服務(wù)支持信息安全服務(wù)協(xié)議應(yīng)急預(yù)案應(yīng)急響應(yīng)團(tuán)隊(duì)?wèi)?yīng)急預(yù)案應(yīng)急響應(yīng)團(tuán)隊(duì)急響應(yīng)企業(yè)對(duì)軟件來源進(jìn)行管理以確保軟件的來源安全可信，包括評(píng)估軟件供應(yīng)商資質(zhì)、軟件社區(qū)活躍度等。其中軟件供應(yīng)商作為當(dāng)前較為重要的軟件來源，對(duì)軟件供應(yīng)商的企業(yè)資質(zhì)、能力資質(zhì)等進(jìn)行評(píng)估至關(guān)重要，接下來主要從軟件供應(yīng)商風(fēng)險(xiǎn)管理流程、軟件供應(yīng)商評(píng)估模型、供應(yīng)商風(fēng)險(xiǎn)評(píng)估流程這三方面詳細(xì)介紹軟件供應(yīng)商風(fēng)險(xiǎn)基于2021年懸鏡安全出版的《軟件供應(yīng)鏈安全白皮書(2021)》報(bào)告中提出的軟件供應(yīng)商風(fēng)險(xiǎn)管理流程，我存從如企業(yè)資質(zhì)、市場影響力、技術(shù)儲(chǔ)備、創(chuàng)新能力、軟件質(zhì)量、故障修復(fù)能力等多角度多維度進(jìn)行綜合性資格供應(yīng)商資格供應(yīng)商退出供應(yīng)商資格供應(yīng)商退出評(píng)估：對(duì)通過資格評(píng)估的軟件供應(yīng)商進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，針對(duì)軟件供應(yīng)商面臨的潛在的安全風(fēng)險(xiǎn)、續(xù)的優(yōu)化和改進(jìn)。標(biāo)準(zhǔn)確立軟軟件供應(yīng)商風(fēng)險(xiǎn)管理流程供應(yīng)商風(fēng)險(xiǎn)供應(yīng)商風(fēng)險(xiǎn)型供應(yīng)商風(fēng)險(xiǎn)評(píng)估是指企業(yè)通過對(duì)供應(yīng)商的產(chǎn)品分析及企業(yè)過程的診斷，用于了解和降低與產(chǎn)品或服務(wù)的第三方在購買或與第三方供應(yīng)商合作時(shí)，組織容易受到各種風(fēng)險(xiǎn)的影響，例如安全漏洞，內(nèi)部管理能力技術(shù)儲(chǔ)備企業(yè)資質(zhì)創(chuàng)新能力質(zhì)量承諾服務(wù)能力財(cái)務(wù)實(shí)力應(yīng)急響應(yīng)能力軟件適用性軟件交付能力合作能力內(nèi)部管理能力技術(shù)儲(chǔ)備企業(yè)資質(zhì)創(chuàng)新能力質(zhì)量承諾服務(wù)能力財(cái)務(wù)實(shí)力應(yīng)急響應(yīng)能力軟件適用性軟件交付能力合作能力軟軟件供應(yīng)商評(píng)估模型軟件成軟件成本·技術(shù)儲(chǔ)備：評(píng)估軟件供應(yīng)商是否擁有自主研發(fā)能力以及自主技術(shù)知識(shí)產(chǎn)權(quán)，對(duì)科技知識(shí)是否有進(jìn)行不斷的積國家或行業(yè)的安全開發(fā)資質(zhì)，在軟件安全開發(fā)的過程管理、質(zhì)量管理、配置管理、人員能力等方面是否具備一；·質(zhì)量承諾：評(píng)估軟件供應(yīng)商的相關(guān)軟件產(chǎn)品是否符合國家及行業(yè)標(biāo)準(zhǔn)要求，信息安全和數(shù)據(jù)保護(hù)控制流程必件在開發(fā)部署以及動(dòng)態(tài)運(yùn)行時(shí)的適用性，是否可以持續(xù)滿足新的需求；評(píng)估軟件供應(yīng)商所提供的軟件成本是否存在虛報(bào)等現(xiàn)象，審查產(chǎn)品及相關(guān)服務(wù)是否可以按照合理·內(nèi)部管理能力：評(píng)估軟件供應(yīng)商是否擁有完善的內(nèi)部管理制度流程、有效的風(fēng)險(xiǎn)防范機(jī)制以及是否對(duì)員工定期進(jìn)行安全培訓(xùn)等，對(duì)供應(yīng)商內(nèi)部安全開發(fā)標(biāo)準(zhǔn)和規(guī)范進(jìn)行審查，要求其能夠?qū)﹂_發(fā)軟件的不同應(yīng)用場景、不件在開發(fā)部署以及動(dòng)態(tài)運(yùn)行時(shí)的適用性，是否可以持續(xù)滿足新的需求；·軟件成本：評(píng)估軟件供應(yīng)商所提供的軟件成本是否存在虛報(bào)等現(xiàn)象，審查產(chǎn)品及相關(guān)服務(wù)是否可以按照合理·內(nèi)部管理能力：評(píng)估軟件供應(yīng)商是否擁有完善的內(nèi)部管理制度流程、有效的風(fēng)險(xiǎn)防范機(jī)制以及是否對(duì)員工定期進(jìn)行安全培訓(xùn)等，對(duì)供應(yīng)商內(nèi)部安全開發(fā)標(biāo)準(zhǔn)和規(guī)范進(jìn)行審查，要求其能夠?qū)﹂_發(fā)軟件的不同應(yīng)用場景、不·創(chuàng)新能力：評(píng)估軟件供應(yīng)商的綜合創(chuàng)新能力，包括技術(shù)創(chuàng)新能力、研究開發(fā)能力、產(chǎn)品創(chuàng)新能力以及生產(chǎn)創(chuàng)·服務(wù)能力：評(píng)估軟件供應(yīng)商的售前服務(wù)能力、培訓(xùn)服務(wù)能力以及售后維護(hù)服務(wù)能力是否滿足企業(yè)的要求，在·應(yīng)急響應(yīng)能力：評(píng)估軟件供應(yīng)商從軟件開發(fā)到運(yùn)營階段是否持續(xù)實(shí)行實(shí)時(shí)監(jiān)控機(jī)制，是否有利用適當(dāng)?shù)木W(wǎng)絡(luò)活動(dòng)、異常、故障和事件的安全日志，是否具有適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性和恢復(fù)能力，；·合作能力：評(píng)估軟件供應(yīng)商是否擁有高效的溝通渠道以及全面的解決方案，擁有共同的價(jià)值觀和工作理念有進(jìn)行軟件供應(yīng)商風(fēng)險(xiǎn)評(píng)估是任何成功的軟件供應(yīng)商風(fēng)險(xiǎn)管理計(jì)劃中最關(guān)鍵的方面之一。軟件供應(yīng)商風(fēng)險(xiǎn)評(píng)估流調(diào)查，以確保供應(yīng)商能夠制定并保持高質(zhì)量的標(biāo)準(zhǔn)，而不會(huì)對(duì)公司及其客戶造成任何風(fēng)險(xiǎn)。主要工作包括但不限于列出當(dāng)前所有供應(yīng)商并對(duì)其進(jìn)行排名，記下每個(gè)供應(yīng)商的主要工作、哪些供應(yīng)商有權(quán)訪T數(shù)據(jù)和隱私風(fēng)險(xiǎn)、合規(guī)風(fēng)險(xiǎn)、供應(yīng)商更換風(fēng)險(xiǎn)等。并結(jié)合市場狀況、企業(yè)的供應(yīng)成本以及本報(bào)告提出的軟件供 (風(fēng)險(xiǎn)因素)的可能性X(風(fēng)險(xiǎn)因素)的影響成本=風(fēng)險(xiǎn)中可控合理的范高定時(shí)段內(nèi)低運(yùn)行中可控合理的范高定時(shí)段內(nèi)低運(yùn)行如下圖所示，我們使用風(fēng)險(xiǎn)評(píng)估矩陣模板來衡量潛在風(fēng)險(xiǎn)的嚴(yán)重程度和可能性，分為低、中、高和嚴(yán)重，為每嚴(yán)重性對(duì)結(jié)果幾乎沒有接受影響但不影響嚴(yán)重影響活動(dòng)災(zāi)難性風(fēng)險(xiǎn)不大可能發(fā)生低中中高生風(fēng)險(xiǎn)低中高風(fēng)險(xiǎn)中高高第三步：根據(jù)風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，選擇合適的軟件供應(yīng)商，并對(duì)其進(jìn)行供應(yīng)商深入評(píng)估，包括但不限于評(píng)估供應(yīng)商如何在整個(gè)項(xiàng)目周期中管理數(shù)據(jù)文檔計(jì)劃，以及供應(yīng)商在發(fā)生意外安全事件(如數(shù)據(jù)丟失、攻擊事件、系統(tǒng)癱瘓)時(shí)的安全事件應(yīng)急響應(yīng)計(jì)劃。第四步：審查報(bào)告完成后，企業(yè)須與供應(yīng)商管理層一起審查審計(jì)報(bào)告的結(jié)果，并允許供應(yīng)商代表就審計(jì)中包含總而言之，供應(yīng)商評(píng)估是為了確保良好的合作關(guān)系，同時(shí)這也是一個(gè)適用于當(dāng)前供應(yīng)商自身評(píng)估的過程，用于軟件安全合規(guī)性評(píng)審是指針對(duì)軟件自身的安全及合規(guī)進(jìn)行管控，確保軟件自身不存在安全及合規(guī)風(fēng)險(xiǎn)，包括提供軟件物料清單(SBOM)、軟件安全要求、軟件合規(guī)要求、安全測試及評(píng)審報(bào)告和安全監(jiān)控防護(hù)等。BOM識(shí)到SBOM對(duì)于軟件網(wǎng)絡(luò)安全的重要性。對(duì)于軟件供應(yīng)商來說，構(gòu)建SBOM提升了軟并響應(yīng)漏洞問題。SBOM以清晰直觀OM軟件像其它IT硬件設(shè)備一樣，作為企業(yè)的資產(chǎn)需要加以綜合管理。軟件資產(chǎn)管理旨在幫助企業(yè)降低成本并防。許可期限等內(nèi)容。軟件及源代碼版本管理，指針對(duì)交付的軟件產(chǎn)品、源代碼及其配置庫信息等各個(gè)不同版本進(jìn)行統(tǒng)一管理，自研代碼與第三方組件也應(yīng)要進(jìn)行獨(dú)立存放、目錄隔離等操作。漏洞管理，指對(duì)軟件供應(yīng)鏈所涉。服務(wù)支持是用來支持軟件產(chǎn)品交付部署過程中的服務(wù)性活動(dòng)，需供應(yīng)商明確出軟件的服務(wù)支持方式以及服務(wù)水平、安全服務(wù)協(xié)議等內(nèi)容。服務(wù)支持方式大多以產(chǎn)品、用戶文檔以及培訓(xùn)咨詢等方式展示，主要用于說明軟件產(chǎn)品功能、對(duì)用戶使用進(jìn)行指導(dǎo)、系統(tǒng)異常問題的解決處理等相關(guān)信息；服務(wù)水平協(xié)議，主要用于明確軟件交付部署方式、后續(xù)維保、新增需求的后續(xù)開發(fā)及服務(wù)支持方式等內(nèi)容；信息安全服務(wù)協(xié)議，主要用于明確保密軟件產(chǎn)品或服務(wù)由供應(yīng)商轉(zhuǎn)移到軟件用戶的過程，這個(gè)過程帶有傳播性，若其過程發(fā)生捆綁下載、建立成熟的應(yīng)急響應(yīng)機(jī)制是至關(guān)重要的。主要包括：1)應(yīng)急預(yù)案，對(duì)于軟件供應(yīng)鏈安全事件應(yīng)急響應(yīng)機(jī)制進(jìn)行說明，包括事件分類分級(jí)處理、處理時(shí)效、響應(yīng)流程等內(nèi)容；2)應(yīng)急響應(yīng)團(tuán)隊(duì)，明確軟件供應(yīng)鏈安全事件。都有可能帶來安全隱患。如2015年9月“XcodeGhost”惡意攻擊事件，開發(fā)者為了方便從非官網(wǎng)渠道獲取測試人員、運(yùn)營人員、還是終端用戶，都可以為其業(yè)務(wù)流程提供一個(gè)靈活的框架。在人員管理中，根據(jù)不同的角色，授予其不同級(jí)別資源訪問權(quán)限的身份和憑據(jù)，在企業(yè)組織中，為其所有員工定期進(jìn)行相關(guān)培訓(xùn)，如幫助開發(fā)人員了解編碼過程中的安全設(shè)計(jì)原則、安全開發(fā)標(biāo)準(zhǔn)等；幫助所有企業(yè)終端用戶明確企業(yè)安全策略，包括常見的憑據(jù)盜竊戰(zhàn)術(shù)與當(dāng)前的攻擊方法(如可疑附件、虛假賬單請(qǐng)求等)等，以提高其安全意識(shí)，養(yǎng)成良好的最小特權(quán)原則是一種信息安全模式。在這種模式中，將僅向訪問者提供在給定時(shí)間段內(nèi)完成工作職能所需的最低級(jí)別的訪問權(quán)限。此模式還可以應(yīng)用到執(zhí)行所需任務(wù)時(shí)需要訪問權(quán)限的應(yīng)用程序、系統(tǒng)或互聯(lián)設(shè)備中。強(qiáng)制零信任是一種安全模型，基于訪問主體身份、網(wǎng)絡(luò)環(huán)境、終端狀態(tài)等盡可能多的信任要素對(duì)所有用戶進(jìn)行持續(xù)驗(yàn)證和動(dòng)態(tài)授權(quán)，旨在通過嚴(yán)格的訪問控制框架來保護(hù)現(xiàn)代業(yè)務(wù)基礎(chǔ)架構(gòu)。在當(dāng)今如公共云、私有云、SaaS應(yīng)用程序等復(fù)雜的環(huán)境中，訪問路徑越來越多樣化，邊界變得越來越模糊，傳統(tǒng)的基于邊界防御的網(wǎng)絡(luò)軟件開發(fā)生命周期安全風(fēng)險(xiǎn)治理強(qiáng)調(diào)安全前置，通過組織管理手段及安全工具，在軟件開發(fā)全生命周期的各個(gè)階段(需求分析階段、研發(fā)測試階段、發(fā)布運(yùn)營階段、停用下線階段)進(jìn)行安全防護(hù)，從源頭提升安全質(zhì)量，組織文化上，建設(shè)安全文化，加強(qiáng)部門之間溝通，提高安全團(tuán)隊(duì)對(duì)基礎(chǔ)設(shè)施和工具的可見性，以便安全團(tuán)隊(duì)在安全負(fù)責(zé)。軟件安全開發(fā)流程的優(yōu)化促進(jìn)跨團(tuán)隊(duì)的有效溝通和協(xié)作，采用統(tǒng)一的IT治理模型和可度量的安全指標(biāo)，在軟發(fā)布運(yùn)營階段和停用下線階段，采取必要的安全考慮及相應(yīng)的安全防護(hù)措施。安全技術(shù)和工具方面聚焦于保障ICD (1)安全需求分析，包括安全合規(guī)需求以及安全功能需求； (2)安全設(shè)計(jì)原則； (3)確定安全標(biāo)準(zhǔn)，規(guī)范安全要求，滿足業(yè)務(wù)機(jī)密性、完整性和可用性需求；