|
在环球数字化转型加速的背景下,软件供应链安全已成为国家安全和产业发展的核心议题。中国信通院联合云计算开源产业联盟发布的《软件供应链安全发展洞察报告(2024)》(以下简称《报告》),揭示了当前软件供应链安全面临的挑战与应对策略。本文结合核心内容,梳理关键趋势与解决方案。
一、现状与挑战:开源风险与管理困难并存
1.开源软件风险高企
国内企业软件项目中开源软件使用率已达100%,平均每个项目存在83个已知漏洞,高危漏洞占比达81%。尽管高危缺陷密度较往年降落,但老旧漏洞(如20年前的漏洞)仍广泛存在,部分以致被利用为“0day攻击”工具.
2. 管理体系碎片化
软件供应链涉及开发、交付、运维等多个环节,需方与供方责任分别不清晰,且缺乏统一的实施指南和羁系机制。
二、核心洞察:管理体系与标准创建的四大方向
1. 构建“供需协同”管理框架
供方企业需强化开发、交付等环节的安万能力,而需方企业应规范采购与安全评估流程,形成从开发到运营的全生命周期管理体系。比方,73%的企业将开源管理作为切入点,近50%的企业通过软件物料清单(SBOM)提升透明度。
2. 标准引领:国家与行业双轮驱动
我国已发布《软件供应链安全要求》《开源代码安全评价方法》等国标,并推进《软件物料清单数据格式》订定,从技能规范到管理流程形成标准闭环。对比欧美,国内仍需加强顶层设计,创建类似美国CISA的“软件证明与存储库”机制。
3. 开源生态管理成为突破口
开源软件的安全缺陷检出率虽有所降落(如NULL引用类缺陷降低至25.7%),但其复杂依赖关系仍导致风险传导。企业需结合工具链(如SCA、SBOM天生工具)实现开源组件的动态监控。
4. AI赋能安全:机会与威胁并存
AI技能既可能放大供应链风险(如恶意代码天生),也能提升漏洞检测效率。报告建议将AI应用于代码分析、威胁预测等领域,同时规范AI框架的引入流程,防范模型污染等新型风险。
三、将来趋势:AI与SBOM重构安全范式
1. SBOM从理论到落地
在当今软件供应链安全愈发受重视的背景下,软件物料清单(SBOM)凭借其能实现供应链透明化的强盛能力,已成为保障软件供应链安全的核心工具。美国网络安全和基础设施安全局(CISA)更是已将SBOM纳入联邦采购要求,凸显了其在国际层面的重要地位。 国内企业也意识到了SBOM的重要性,正加速SBOM的天生与应用进程。其中,悬镜安全发挥了重要的推动作用。子芽曾带领团队于2023年8月10日在国家集会中央,联合倪光南院士及北京大学、开源中国、电信研究院、复兴通讯等产业机构的专家学者发布了中国首个数字供应链SBOM格式DSDX(Digital Supply - chain Data Exchange)。DSDX由OpenSCA社区主导发起,汇聚了权威研究机构、甲方客户、安全厂商等多方力量,专门适配中国企业实战化应用场景。其目标是成为数字供应链安全管理与运营的核心技能抓手,助力行业从软件供应链安全安稳过渡到数字供应链安全时代。 国内企业在SBOM的应用中,可以结合DSDX这一创新格式,借助悬镜等企业提供的主动化工具,高效地实现软件成分分析与风险追踪。通过DSDX格式的SBOM,企业能够更清晰地相识软件中各个组件的来源、版本、许可证等信息,及时发现潜在的安全漏洞和合规风险,为软件供应链的安全管理提供有力支持。
2. AI驱动的安全防御
在数字化飞速发展的当下,AI 技能正迅速融入软件开发领域。GitHub 数据表现,高达 92% 的开发者在日常编码工作中使用 AI 编码工具。这些工具能显着提升开发效率,淘汰编码错误,开发者借助它们可快速获取代码示例、主动完成代码片段,大幅缩短开发周期。然而,AI 编码工具也存在安全隐患。它们常依赖第三方框架和开源组件,这些资源可能有安全漏洞或被恶意篡改。一旦开发者使用存在安全问题的工具,隐患就会被引入软件,为软件供应链埋下安全隐患。攻击者利用这些漏洞,可能导致软件系统被入侵、数据泄漏,给企业和用户造成巨大损失。面对这一情况,创建 “AI for Security” 与 “Security for AI” 的双向机制,成为软件供应链安全发展的必然趋势。“AI for Security” 旨在发挥 AI 技能在安全防御中的作用。好比,利用大模型强盛的数据分析能力,深入分析海量开源漏洞数据,快速辨认漏洞特性、流传路径和潜在影响,为安全团队提供预警和应对策略,还能预测将来漏洞类型和攻击方式,提前防范。
3. 生态共建与环球协作
在当今数字化高度发展的时代,软件供应链安全已成为至关重要的议题,它迫切必要跨行业、跨国界的协同合作。随着软件在各个领域的深度渗出,单一企业或国家难以独自应对复杂多变的安全威胁。
OpenSSF 与 DARPA 的合作便是一个典型范例。OpenSSF 专注于开源软件的安全,而 DARPA 拥有先辈的科研资源,二者携手鼎力大肆推动 AI 安全研究。通过整合各自上风,在技能创新、安全漏洞发掘等方面取得显着进展,为 AI 技能在安全可靠的环境下发展提供有力支持。
CISA 计划创建环球 EOL(生命周期终止)软件数据库,这一举措意义庞大。很多 EOL 软件因制止更新维护,存在大量安全隐患。该数据库的创建,能让环球各方及时相知趣关信息,采取有效防护措施,降低安全风险。
我国在软件供应链安全领域也应积极作为,主动到场国际标准订定。这不仅能提升我国在该领域的话语权,还有助于将我国成熟的安全技能和理念融入国际标准。同时,构建开放的安全生态,与环球各国共享安全技能与履历,共同应对软件供应链安全挑战,促进环球软件产业的康健、安全发展 。
2024年,软件供应链安全已从“单点防御”迈向“体系重构”。通过标准美满、AI赋能与生态协同,企业可构建韧性更强的供应链体系。然而,顶层设计的缺失仍是最大短板,亟需国家层面创建基础设施(如安全测评认证体系)和行业级实践指南,实现从“被动响应”到“主动防御”的超过。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 | 
