在数字化浪潮席卷全球的当下,软件供应链安全已然成为企业和构造稳固运转的关键基石。从支持一样寻常办公的软件体系,到驱动核心业务的应用程序,每一个环节的安全状况都可能对整体运营产生深远影响。
但随着技术的日新月异,数字供应链安全正遭遇亘古未有的挑战与威胁。开源组件的广泛使用、复杂的第三方供应商网络、不停演变的恶意攻击手段……
都让供应链安全的防护难度与日俱增。
接下来,我将为大家深入剖析供应链安全的时代背景、所面对的重重挑战,并分享我们在安全管理方面的实践经验以及相干典范案例。
01供应链安全背景
(1)关于软件供应链安全
软件供应链由传统供应链扩展而来,它涵盖了原始组件、集成组件、软件产品和持续运营等多个环节。在这个生态体系中,供应关系和软件供应链的界说至关重要。供应关系是指需方和供方之间为开展业务、提供软件产品或服务建立的协议、合同等契约关系;软件供应链则是基于供应关系,将软件产品或服务从供方交付给需方并完成部署及软件生命周期维护而形成的网链体系。
而如今软件供应链的界说已无法适应数字时代技术创新带来的新发展。因此,数字供应链的概念应运而生。数字供应链是基于互联网、物联网、人工智能等新一代信息技术,以数字化平台为支持,由数字应用、底子设施服务、供应链数据三大根本构成。其中,数字应用包罗软件、Web、固件等,底子设施服务是指云服务、IT托管服务等,供应链数据则包罗底子数据和敏感信息等。
(2)数字供应链安全频发
随着开源、人工智能、云计算等技术的高速发展和广泛应用,数字供应链越趋于复杂化和多样化,安全风险不停加剧,也带来了巨大的威胁和丧失。
例如,2021 年 8 月发生的Realtek 的WiFi SDK漏洞,中国台湾芯片厂商Realtek 发布安全公告称在其软件开辟套件和WiFi模块中发现了4个安全漏洞。攻击者可使用该漏洞绕过身份验证,并以最高权限运行恶意代码,有效接管设备。本次暴出漏洞的芯片至少有65家供应商在使用,生产出的设备数量凌驾十万台。
再如,2021 年 12 月,Apache 开源组件 Log4j2漏洞, 被认为是 “2021 年最重要的安全威胁之一”。以及2022年3月国家信息安全漏洞共享平台(CNVD)收录 Spring 框架长途命令实行漏洞(CNVD - 2022 - 23942)。攻击者使用该漏洞,可在未授权的环境下长途实行命令,该漏洞被称为 “核弹级” 漏洞,使用 JDK9 及以上版本皆有可能受到影响。2024年3月发现Linux主流压缩库xz漏洞......
这些事件均表明,数字供应链威胁日益严重。
(3)数字供应链威胁日益严重
根据国际知名咨询机构Gartner 猜测,到 2025 年,全球 45% 的构造的数字供应链遭受过攻击,这一数字比 2021 年增加了三倍。
Sonatype 发布的《第八届数字供应链年度总结》显示,从 2019 年到 2022 年,数字供应链攻击事件呈现出高发态势,三年间安全事件的年平均增长率到达了 742%,并且依靠混淆、域名仿冒和恶意代码注入等攻击手段,仍然是数字供应链面对的严重威胁。
截止到2023 年 9 月,我们已记录 245,032恶意软件包,相较2022年恶意软件包的数量增加了三倍。
(4)国内外政策要求
政策也对供应链安全提出了明确要求。公安部 1960 号文明确了供应链安全要求,中国银保监也强调要增强技术供应链安全管理。在国外,医疗行业率先提出 SBOM 的使用需求,并形成了可引导理论的实践经验。例如,2018 年,美医疗行业首先提出 SBOM 的使用需求,并于 2019 年开始试点。到 2021 年,医疗行业已形成可引导理论的实践经验。2022 年 4 月,FDA 发布医疗设备网络安全草案,专章保举使用 SBO。
02供应链安全挑战
(1) 数字供应链安全的“内忧外患”
国际竞争加剧,技术封锁和出口管制严重影响数字供应链完整性,对数字供应链的自主可控、安全高效提出了更高的要求。软件开源化趋势增强,开源软件风险随着代码管平台大量流传,更有开辟者故意留后门影响卑鄙软件,开源软件之间复杂的依靠关系,导致风险的二次流传,管理更加困难。同时,国内开源知识产权和法律持续完善,存在开源许可证辩论风险、知识产权风险。
数字供应链风险点增多,软件复杂化导致供应链过长,引入风险环节多,增加安全检测和维护的难度,数字供应链使风险得以自上而下扩散,小问题可能酿成重大缺陷,购买商业软件或外包开辟通常疏于对安全的验收,设计缺陷、深条理漏洞难以发现。此外,现有数字供应链解决方案覆盖不全、自动化程度低、离开实际业务,无法有效发挥作用,灵敏开辟下对自动化程度要求高,安全无法融入开辟环节,导致数字供应链安全管控缺失。
(2)安全挑战-企业现状
在当今的企业环境中,软件供应链安全面对着诸多挑战,尤其是在企业现状方面,存在着一些突出的问题。
1大多数开辟者认为第三方库是安全可靠的。
据统计,98%的软件开辟公司乃至不知道自己软件产品到底使用了哪些第三方库组件。这表明企业对软件构成身分的相识严重不足,无法有效掌控软件的供应链。大部分软件开辟者在引入第三方库的时间,并没有关注引入组件是否存在安全隐患或者缺陷。尤其是一些著名开源工程,完全不去做任何安全校验。这使得软件在开辟过程中就可能引入潜在的安全风险,为后续的使用埋下隐患。
2经常复用的第三方库,往往是攻击者最喜欢的。
攻击者探求一个零日漏洞很困难,但已知漏洞往往成为了其最常用的方式。NVD 库中存在十几万个已知漏洞,是一把双刃剑,既可以提醒软件开辟者潜在的安全隐患,也可以提示攻击者在用户误用了一些含有漏洞的第三方库时进行攻击。在 2018 年的护网举措中,众多软件体系被攻击就是使用了第三方库中的已知漏洞。这凸显了企业对已知漏洞的忽视可能带来的严重结果,以及增强对第三方库组件安全审查的重要性。
3不同开源软件的许可证可能存在合规性和兼容性风险
尽管开源软件拥有 “免费” 的上风,但它与其它软件一样都要受到许可证的约束。然而,实际环境是,67% 的代码库包罗某种情势的开源代码许可证辩论,33% 的代码库包罗没有可辨认许可证的开源组件。在使用开源软件时,不同开源软件的许可证可能存在合规性和兼容性风险,从而导致知识产权风险。
例如,2019 年 11 月 6 日,数字天堂(北京)网络技术有限公司诉柚子(北京)科技有限公司、柚子(北京)移动技术有限公司侵犯计算机软件著作权纠纷一案终审判决,判令柚子公司克制侵权并赔偿 71 万元。该案被称为中国第一个涉及 GPL 协议的诉讼案件,进一步说明白开源软件的知识产权风险是不可忽视的重要风险之一。
(3) 安全挑战-“四个不”
理不清:企业不清楚体系中使用了多少开源软件和开源组件。
看不见:企业中已使用的开源软件和开源组件中存在多少已知的安全漏洞和知识产权风险。
找不到:企业在开源软件或组件出现漏洞时,无法快速定位到漏洞组件的影响范围,并及时止损,禁止漏洞组件下载。
治不了:针对开源软件安全风险,企业缺少相应的评估和修复本领。
03安全管理实践
面对这些挑战,我们需要进行安全管理实践,联合大量客户实践我们已经形成了一套成熟、完整的实践方案。
(1)风险管理重点目标:应用软件资产
风险管理的重点目标是应用软件资产,包罗自研软件代码、OSS 开源软件、COTS 商业软件和合作开辟软件等。
(2)数字供应链安全管理框架
我们需要建立数字供应链安全管理平台,推动数字供应链安全管理体系建立。具体来说,我们要进行软件资产梳理、风险辨认和修复替换方案,同时建立源头管理、研发过程管理和上线运营管理等阶段的安全管控机制。
在源头管理阶段,要注意软件源头引入安全控制。
在预备环节,要明确 OSS 软件引入和 SBOM 审查的要求,订定软件 SBOM 清单和供应商管理规范,建立风险控制模子。
在开辟环节,要进行 SAST 源代码合规检测和 OSS 软件出厂 SBOM 预备,同时进行 SCA 开源威胁管理。
在采购环节,要订定软件采购规范和 SBOM 要求,对供应商进行安全审查。
在研发过程管理阶段,要注意软件可信研发运营安全。
在编码构建阶段,引入 SAST 检测源代码风险,使用 SCA 检测开源组件中的已知漏洞和许可辩论。
在测试上线阶段,使用 IAST 上线条件前发现风险,覆盖 API 接口安全测试,建立质量门禁。同时,要体例 SBOM 物料清单,形成梳理软件资产的数据标准,维护并跟踪最新安全事件造成的影响。
在上线运营管理阶段,要注意应用安全。对上线自研、外购软件在应用运行过程进行入侵监控与威胁免疫,建立供应链威胁持续运营本领,针对数字供应链攻击、数字供应链投毒等事件进行自动防御。联合数字供应链情报,提前防御及响应供应链威胁。
(3)数字供应链安全审查方案
数字供应链安全审查方案旨在全面评估和保障数字供应链的安全性。
在审查目标方面,我们要辨认和评估数字供应链中存在的安全风险,确保软件、组件和体系符合安全标准和合规要求,并提供可追溯性和透明度。
在审查范围上,我们要涵盖企业内部使用的各种软件,包罗自研软件、开源软件和商业软件,以及软件的整个生命周期和相干的供应商、合作伙伴等。
在审查方法上,我们会使用专业的安全扫描工具,如漏洞扫描器、恶意软件检测工具等,同时接纳二进制 SCA 技术、SAST 技术和 IAST 技术进行全面检测。
在审查流程上,我们会从软件上传开始,经过软件资产采购、输出 SBOM、供应链安全审查平台的检测、指派责任对象响应修复、融入 CI/CD 以及与 SOC体系集成等多个环节,确保安全审查的全面性和有效性。
此外,我们还可以订定相干的制度和规范,包罗软件采购审查规范、供应链安全应急预案、供应链安全风险管理制度和供应链安全审查绩效考核标准等,以保障数字供应链安全审查工作的顺遂进行。
(4)数字供应链入口安全风险管控
在数字供应链安全管理中,我们需要关注入口安全风险管控。数字供应链的重要安全风险包罗外包开辟 / 外采对软件安全要求不足、发布环境存在风险以及渠道捆绑安装等问题。
在软件开辟环节,我们要引入架构分析和威胁建模,进行源代码和开源组件检测,建立质量门禁,并体例 SBOM 物料清单。
在软件引入和运营阶段,我们要梳理存量软件应用,进行入侵监控和威胁免疫,提前防御及响应供应链威胁。
(5)数字供应链的重要安全风险分析
数字供应链的重要安全风险在不同阶段存在不同的问题和难点,也需接纳不同的措施。
(6)关键供应链安全审查技术-二进制SCA
企业商业化软件交付制品重要以二进制、容器制品、安装包等形态交付。二进制SCA检测技术,有效应对各类软件检测需求,涵盖移动端、嵌入式、后台开辟、云原生各种开辟场景下的跨架构格式解析。
(7)构建供应链上完整SBOM信息
它具有重要价值,如作为梳理软件资产的接口、便于集成和转换、便于响应事件情报以及形成衡量标准等。联合 SBOM,我们可以进行数字供应链风险分析,建立供应商风险画像和供应链资产空间。
(8)供应商风险画像,供应链资产空间建立
在当今数字化时代,企业的供应链安全面对着诸多挑战。供应商作为供应链的重要构成部分,其风险状况直接影响着整个供应链的安全。因此,建立供应商风险画像至关重要。供应商风险画像基于对供应商信息的管理和画像,可以或许帮助我们全面相识供应商的环境。通过对接供应商管理体系,我们可以动态生成供应商风险画像,从而便于供应商选型和风险管理。
在供应商风险画像中,我们关注多个维度的信息。包罗供应商的合规配置安全、应用漏洞数、许可风险、代码自研率、开源项目风险、断供风险、供应链投毒、漏洞响应及补丁环境、版本更新速率等。这些信息可以或许帮助我们全面评估供应商的风险水平,为企业的决议提供有力支持。
同时,供应链资产空间的建立也是数字供应链安全管理的关键环节。通过对供应链资产的梳理,我们可以排查供应商威胁暴露面,找出供应链信息体系与产品中的漏洞,并及时响应供应链安全事件。在供应链资产空间中,我们关注软件应用、软件包、源码文件、中间件、组件、补丁包、更新包等资产。同时,我们还关注这些资产中的漏洞、许可证、敏感信息和编译安全配置等问题。通过建立多维度可持续的数字供应链空间测绘,我们可以或许更好地管理供应链资产,低落安全风险。
(9)数字供应链安全情报
联合渠道数字供应链安全情报的数据,并联合计谋、AI、专家体系化运营以及风险评级模子,实现了情报的快准全,帮助企业在安全开辟、运维、采购、分发各个阶段提供情报数据解决方案。
(10)专注有效风险
在数字供应链安全管理中,我们必须高度重视有效风险的管理。因为无论从开源漏洞、许可协议来做,都会有很多,一样寻常没法全部处理;所以需要专注有效风险的管理包罗多个方面,如组件升级、组件中间件管理、漏洞修复以及计谋管控等。
首先,组件升级是低落风险的重要手段之一。在进行组件升级时,我们需要进行兼容性分析,确保升级后的组件可以或许与现有体系稳固运行。升级组件可以修复已知的漏洞,进步体系的安全性和稳固性。其次,组件中间件的管理也不容忽视。我们可以直接升级中间件,拉取新版本镜像,以确保中间件的安全性和功能性。
此外,漏洞修复是至关重要的。当发现漏洞时,我们可以接纳打补丁、缓解配置、使用RASP热补丁缓解或设置 WAF 规则等措施来修复漏洞,防止攻击者使用这些漏洞进行攻击。同时,计谋管控也是有效风险管理的一部分。我们可以设置临时白名单延期修复,建立质量门禁,进行计谋风险管控和专项审计修复,以确保体系的安全稳固。
小结:数字化数字供应链安全落地管理方案
通过以上实践这里做下总结,首先强调了同一化要求,即外部采购、生产交付软件进行数字供应链安全审查,确保符合安全要求后引入。这一举措面向所有软件资产,并且确保可以或许收集完整的 SBOM 信息,并会合管理。通过这种方式,我们可以从源头把控软件的安全性,淘汰潜在的安全风险。
在软件生产过程中,我们注意透明化安全管控。确保软件生产过程安全透明,保障开辟软件安全发布,形成完善的研发运营体系,完善生产 SBOM。这不仅有助于我们及时发现息争决软件生产过程中的安全问题,还能进步软件的质量和可靠性。
同时,方案还关注软件的持续安全运营。在数字供应链安全管理视角下,对于存量的上线应用资产进行梳理,并提供持续动态风险免疫本领,确保建立快速的响应本领。这样,即使在软件上线后,我们也能及时发现和应对可能出现的安全威胁,保障软件的稳固运行。
此外,方案涵盖了一系列的安全工具和技术,如 SCA、SAST、RASP 等,以及审查引擎和《供应链安全运营引导、应急制度》等规范。这些工具和规范相互配合,形成了一个完整的安全体系,可以或许有效地防范和应对数字供应链中的各种安全风险。
04实践案例
在实践案例方面,以某头部新能源车企为例,他们的产品线不仅覆盖国内市场,更是远销外洋市场。该厂商生产的汽车搭载了高度集成的车载信息娱乐体系应用,然而,由于这些软件组件来源于多元供应商,存在潜在的开源组件使用及许可风险。具体来说,数字供应链透明度低,难以追踪和管理嵌入式固件以及车端大屏应用中的组件身分;不同的开源组件带有特定的许可证要求,且涉及到外洋出口,若未正确服从,可能导致法律纠纷或商业丧失。
为相识决这些问题,该车企建立了车端供应链安全审查制度,针对嵌入式固件及车端应用输出 SBOM 清单,梳理许可证风险,并将车端应用涉及的软件许可,在车端大屏中进行 “开放源代码许可” 声明公示。通过实施这些措施,该车企有效辨认了许可风险,规避了版权许可问题,使业务上线前中高危开源漏洞淘汰了85%。
再以某电信运营商为例,他们面对着产研和安全团队对立、业务与安全审查隔离等问题。具体来说,流程被安全测试割裂,交付被安全查抄阻碍,缺失从源头对安全的管理,缺乏研发流程中各阶段安全自动化审查。
为相识决这些问题,该运营商充分使用自动化技术,将悬镜各个安全本领集成于现有的研发流程,打破业务、产研与安全的割裂、对立的僵局,从源头进行威胁管控,形成整体的 DevSecOps 灵敏安全研发管理体系与供应链安全流程。通过实施这些措施,该运营商实现了安全自动检测,从全流程进行业务安全审查,使业务安全缺陷低落了 60%。
最后,以某大型证券机构为例,他们面对着证券行业新技术应用广泛,DevOps研发模式导致业务迭代只考虑完成业务功能忽略业务安全,快速迭代导致安全力不从心,业务往往带 “病” 上线的问题。
为相识决这些问题,基于灵敏安全的整体头脑,将 IAST、SCA 等安全本领原子化,将每一项安全本领融入到 DevOps 的不同阶段,在保障业务快速迭代的底子上,自动化完成安全检测,做好安全卡点。通过实施这些措施,该证券机构实现了安全自动化、流程化的嵌入 DevOps 流程,使业务上线前中高危漏洞淘汰了 85%,并能实时发现业务迭代过程中存在的安全风险,通过漏洞信息联动,达成安全缺陷持续反馈。
最后,开源数字供应链安全管理是一个复杂而体系的工程,需要我们从多个方面入手,增强安全意识,接纳有效的安全管理措施,保障数字供应链的安全可靠。
悬镜安全OpenSCA社区是全球首个开源数字供应链安全社区,正式成立于2021.12.31,社区涵盖泛互联网、车联网、金融、能源、信息通讯和智能制造等众多行业极客用户,为全球开辟者们和广大安全研究人员构筑了专注安全开辟与开源管理的技术创新实践社区。
OpenSCA社区的开源项目开端于悬镜安全商业版源鉴SCA,是国内用户量最多、应用场景最广的开源SCA技术(中国信通院《中国DevOps现状观察陈诉2024》),通过软件码纹分析、依靠分析、特性分析、引用辨认与开源许可合规分析等综合算法,深度挖掘开源供应链安全风险,智能梳理数字资产风险清单,联合SaaS云平台和实时供应链安全情报,为社区用户提供灵活弹性、精准有效、稳固易用的开源数字供应链安全解决方案。
我们信赖,通过大家的共同努力,我们肯定可以或许应对数字供应链安全面对的挑战,为企业和构造的发展提供坚固的保障。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
