数字化时代,软件是企业应用程序的重要组成基础,是数字价值的一种体现,软件的全球化,多样化和复杂化,也给企业管理软件供应链带来了更大的挑战和威胁。软件供应链涉及环节复杂,流程链条长,供应商众多,所以暴露给攻击者的攻击面也越来越多,软件供应链的各个环节都有可能成为攻击者的攻击入口,直接导致安全形势的严峻。软件供应链安全对安全建设数字中国、数字企业至关重要,其本身的安全性和稳定性需要得到有效保障。
国内外软件供应链安全发展情况
1. 国际软件供应链安全发展现状
从国家层面来看,多国出台了各种法律法规与技术标准,并开辟了重点项目来保障软件供应链的安全性。例如,美国总统拜登签署发布了《改善国家网络安全行政令》,该行政令是美国联邦政府试图保护美国软件供应链安全采取的强劲措施。英国国家网络安全中心(NCSC)发布供应链安全专题和指导文件,其中包括 12 条安全原则,供应链攻击示例和安全性评估方法以及管理实践。欧盟《外国直接投资审查条例》针对5G供应链提出,欧盟有权对参与5G网络等关键基础设施投资的外商进行审查和定期监控。日本的《特定高度电信普及促进法》,要求日本相关企业在采购高级科技产品及精密器材时,必须确保系统的安全与可信度;确保系统供货安全;系统要能够与国际接轨。这些法规和标准的出台,旨在规范软件供应链的安全管理,提高供应链的可靠性和安全性。
在企业层面,世界范围内的大型企业都在实施软件供应链安全风险管理,并取得了一定的工作成效。这些企业通过建立软件供应链安全管理体系、加强供应商管理、进行开源软件的安全风险管理、开展供应链风险评估等措施,来保障软件供应链的安全性和可靠性。此外,一些企业还采用了第三方软件构件分析技术,以确保第三方开源构件的安全性。
在技术方面,随着软件供应链的不断发展,一些新兴技术也不断涌现,这些技术的应用可以提高软件供应链的可靠性和安全性。如,区块链技术可以用于软件供应链的安全管理,实现供应链的可追溯性和透明度;人工智能技术可以用于检测和预防软件供应链中的安全威胁和漏洞;云计算技术可以提供高效的软件供应链管理和交付服务等。
国际软件供应链安全得到了高度重视,多层次的安全保障措施正在不断完善。
2. 国内软件供应链安全发展现状
首先,我国政府近年来出台了一系列关于软件供应链安全的政策法规和标准,包括《软件供应链安全要求》、《信息安全技术网络安全等级保护基本要求》、《关键信息基础设施安全保护条例》等。这些法规和标准的制定,旨在规范软件供应链的安全管理,提高供应链的可靠性和安全性。
其次,企业层面,我国头部的互联网企业和安全厂商均开始投入到软件供应链的安全建设中,加大软件安全检测及分析、攻防渗透技术、源代码安全审计、漏洞挖掘技术、大数据分析技术等创新技术的研发及投入,切实落实对软件供应链安全的保障,构建动态的安全防护体系。
另外,国内软件供应链的发展也面临着技术方面的挑战。软件供应链中的各个环节可能采用不同的技术架构和协议,导致系统的兼容性和安全性威胁。此外,随着云计算、物联网等新技术的不断发展,软件供应链也需要适应这些新技术的发展,提高系统的可靠性和安全性。
国内还需要加强软件供应链的安全管理和技术创新,提高供应链的可靠性和安全性,以保障用户的数据安全和系统的稳定运行。
软件供应链安全威胁与趋势
近几年软件供应链安全事件的激增,充分表明软件供应链攻击已经成为网络安全威胁的突破手段。相较于传统安全威胁,软件供应链安全威胁的影响力更具扩散性。近年来发生了多起影响力较大的供应链攻击事件,涉及开源组件、公开代码存储库、云安全 CI/CD 平台等,从2020年到2022年,针对软件供应链的攻击呈指数级增长,“恶意篡改”、“后门植入”和“供应链劫持”等攻击频发。在Sonatype发布的《2021年软件供应链状况报告》中,2021年世界范围内软件供应链攻击增加了650%。Check Point公司的威胁情报部门发布的《2022年安全报告》显示,2022年针对软件供应商的网络攻击同比增长了146%。
结合软件供应链安全生命周期,可将我国软件供应链安全分为上游安全、开发安全、交付安全、使用安全和下游运营安全,软件供应链整个生命周期都存在安全威胁。表1是针对软件供应链全生命周期梳理的相关风险。供应链攻击,漏洞攻击,网络安全防御
软件供应链安全威胁越来越多,攻击手段也层出不穷。在数字化加速转型,应用迭代升级的时期,提升软件供应链安全风险的发现能力、分析能力、处置能力、防护能力以及软件供应链安全管理水平,迫在眉睫。
软件供应链安全治理技术及电信运营商布局建议
为了应对软件供应链中的各种安全威胁和挑战,必须采取有效的安全治理技术来提高供应链的可靠性和安全性。将软件系统打造成可信任、可评估、组成成分透明的可信实体。
首先针对上游安全,电信运营商可依托于软件供应链的安全法律法规,建立内部的软件供应链安全标准规范、软件供应链安全规章制度、软件供应链安全评价体系。并通过合同约束、安全审核、隔离防护、监控处置、网络安全审查等技术与管理相结合的风险管控措施,实现对软件供应链上游企业的风险控制。
在软件的开发生产环节,软件安全开发平台既要支持传统瀑布开发模式也支持敏捷开发模式,采用安全开发能力差距分析、威胁建模、源代码安全检测、组件成分分析等工具,在提升软件研发安全质量的同时保证了研发工作的效率。
在软件的交付环节,根据国家法规要求进行供应商安全评估,并配合软件安全检测技术:如代码审计、软件成分分析、动态安全检测等建设可评估结果的可视化,支撑软件交付安全关口。
在软件的使用环节,通过建立软件成分清单(如 SBOM),源代码管理、漏洞库管理等安全风险管控机制,保证软件供应链数据的安全可信。并构建软件成分清单生成与使用规范,建立管理手段与工具方法库,标准化软件成分和软件成分可视化流程,保证组件透明理念的落实。
在软件运营阶段,建设具备系统化、规模化的软件源代码缺陷和异常行为代码分析、软件漏洞分析、开源软件成分及风险分析等关键能力的安全监测和管控平台,为电信运营商重要信息系统提供安全监督与管控服务,及时发现和处置软件供应链安全风险。
最后,运营商作为关键基础信息体系的中坚力量,在软件供应链安全方面,还要积极开展创新技术应用研究,推动区块链、AI等新技术在软件供应链安全治理中的应用,联合高端研发机构针对开源软件应用缺陷动态检测技术进行突破,解决软件供应链安全检测技术的难题,从源头断绝软件供应链安全隐患。