信息化觀察網(wǎng)

本文來自微信公眾號“天翼智庫”，作者/劉美琪。

數(shù)字化時代，軟件是企業(yè)應(yīng)用程序的重要組成基礎(chǔ)，是數(shù)字價值的一種體現(xiàn)，軟件的全球化，多樣化和復(fù)雜化，也給企業(yè)管理軟件供應(yīng)鏈帶來了更大的挑戰(zhàn)和威脅。軟件供應(yīng)鏈涉及環(huán)節(jié)復(fù)雜，流程鏈條長，供應(yīng)商眾多，所以暴露給攻擊者的攻擊面也越來越多，軟件供應(yīng)鏈的各個環(huán)節(jié)都有可能成為攻擊者的攻擊入口，直接導(dǎo)致安全形勢的嚴峻。軟件供應(yīng)鏈安全對安全建設(shè)數(shù)字中國、數(shù)字企業(yè)至關(guān)重要，其本身的安全性和穩(wěn)定性需要得到有效保障。

國內(nèi)外軟件供應(yīng)鏈安全發(fā)展情況

1.國際軟件供應(yīng)鏈安全發(fā)展現(xiàn)狀

從國家層面來看，多國出臺了各種法律法規(guī)與技術(shù)標準，并開辟了重點項目來保障軟件供應(yīng)鏈的安全性。例如，美國總統(tǒng)拜登簽署發(fā)布了《改善國家網(wǎng)絡(luò)安全行政令》，該行政令是美國聯(lián)邦政府試圖保護美國軟件供應(yīng)鏈安全采取的強勁措施。英國國家網(wǎng)絡(luò)安全中心（NCSC）發(fā)布供應(yīng)鏈安全專題和指導(dǎo)文件，其中包括12條安全原則，供應(yīng)鏈攻擊示例和安全性評估方法以及管理實踐。歐盟《外國直接投資審查條例》針對5G供應(yīng)鏈提出，歐盟有權(quán)對參與5G網(wǎng)絡(luò)等關(guān)鍵基礎(chǔ)設(shè)施投資的外商進行審查和定期監(jiān)控。日本的《特定高度電信普及促進法》，要求日本相關(guān)企業(yè)在采購高級科技產(chǎn)品及精密器材時，必須確保系統(tǒng)的安全與可信度；確保系統(tǒng)供貨安全；系統(tǒng)要能夠與國際接軌。這些法規(guī)和標準的出臺，旨在規(guī)范軟件供應(yīng)鏈的安全管理，提高供應(yīng)鏈的可靠性和安全性。

在企業(yè)層面，世界范圍內(nèi)的大型企業(yè)都在實施軟件供應(yīng)鏈安全風險管理，并取得了一定的工作成效。這些企業(yè)通過建立軟件供應(yīng)鏈安全管理體系、加強供應(yīng)商管理、進行開源軟件的安全風險管理、開展供應(yīng)鏈風險評估等措施，來保障軟件供應(yīng)鏈的安全性和可靠性。此外，一些企業(yè)還采用了第三方軟件構(gòu)件分析技術(shù)，以確保第三方開源構(gòu)件的安全性。

在技術(shù)方面，隨著軟件供應(yīng)鏈的不斷發(fā)展，一些新興技術(shù)也不斷涌現(xiàn)，這些技術(shù)的應(yīng)用可以提高軟件供應(yīng)鏈的可靠性和安全性。如，區(qū)塊鏈技術(shù)可以用于軟件供應(yīng)鏈的安全管理，實現(xiàn)供應(yīng)鏈的可追溯性和透明度；人工智能技術(shù)可以用于檢測和預(yù)防軟件供應(yīng)鏈中的安全威脅和漏洞；云計算技術(shù)可以提供高效的軟件供應(yīng)鏈管理和交付服務(wù)等。

國際軟件供應(yīng)鏈安全得到了高度重視，多層次的安全保障措施正在不斷完善。

2.國內(nèi)軟件供應(yīng)鏈安全發(fā)展現(xiàn)狀

首先，我國政府近年來出臺了一系列關(guān)于軟件供應(yīng)鏈安全的政策法規(guī)和標準，包括《軟件供應(yīng)鏈安全要求》、《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等。這些法規(guī)和標準的制定，旨在規(guī)范軟件供應(yīng)鏈的安全管理，提高供應(yīng)鏈的可靠性和安全性。

其次，企業(yè)層面，我國頭部的互聯(lián)網(wǎng)企業(yè)和安全廠商均開始投入到軟件供應(yīng)鏈的安全建設(shè)中，加大軟件安全檢測及分析、攻防滲透技術(shù)、源代碼安全審計、漏洞挖掘技術(shù)、大數(shù)據(jù)分析技術(shù)等創(chuàng)新技術(shù)的研發(fā)及投入，切實落實對軟件供應(yīng)鏈安全的保障，構(gòu)建動態(tài)的安全防護體系。

另外，國內(nèi)軟件供應(yīng)鏈的發(fā)展也面臨著技術(shù)方面的挑戰(zhàn)。軟件供應(yīng)鏈中的各個環(huán)節(jié)可能采用不同的技術(shù)架構(gòu)和協(xié)議，導(dǎo)致系統(tǒng)的兼容性和安全性威脅。此外，隨著云計算、物聯(lián)網(wǎng)等新技術(shù)的不斷發(fā)展，軟件供應(yīng)鏈也需要適應(yīng)這些新技術(shù)的發(fā)展，提高系統(tǒng)的可靠性和安全性。

國內(nèi)還需要加強軟件供應(yīng)鏈的安全管理和技術(shù)創(chuàng)新，提高供應(yīng)鏈的可靠性和安全性，以保障用戶的數(shù)據(jù)安全和系統(tǒng)的穩(wěn)定運行。

軟件供應(yīng)鏈安全威脅與趨勢

近幾年軟件供應(yīng)鏈安全事件的激增，充分表明軟件供應(yīng)鏈攻擊已經(jīng)成為網(wǎng)絡(luò)安全威脅的突破手段。相較于傳統(tǒng)安全威脅，軟件供應(yīng)鏈安全威脅的影響力更具擴散性。近年來發(fā)生了多起影響力較大的供應(yīng)鏈攻擊事件，涉及開源組件、公開代碼存儲庫、云安全CI/CD平臺等，從2020年到2022年，針對軟件供應(yīng)鏈的攻擊呈指數(shù)級增長，“惡意篡改”、“后門植入”和“供應(yīng)鏈劫持”等攻擊頻發(fā)。在Sonatype發(fā)布的《2021年軟件供應(yīng)鏈狀況報告》中，2021年世界范圍內(nèi)軟件供應(yīng)鏈攻擊增加了650%。Check Point公司的威脅情報部門發(fā)布的《2022年安全報告》顯示，2022年針對軟件供應(yīng)商的網(wǎng)絡(luò)攻擊同比增長了146%。

結(jié)合軟件供應(yīng)鏈安全生命周期，可將我國軟件供應(yīng)鏈安全分為上游安全、開發(fā)安全、交付安全、使用安全和下游運營安全，軟件供應(yīng)鏈整個生命周期都存在安全威脅。表1是針對軟件供應(yīng)鏈全生命周期梳理的相關(guān)風險。

表1軟件供應(yīng)鏈全生命周期安全風險

軟件供應(yīng)鏈安全威脅越來越多，攻擊手段也層出不窮。在數(shù)字化加速轉(zhuǎn)型，應(yīng)用迭代升級的時期，提升軟件供應(yīng)鏈安全風險的發(fā)現(xiàn)能力、分析能力、處置能力、防護能力以及軟件供應(yīng)鏈安全管理水平，迫在眉睫。

軟件供應(yīng)鏈安全治理技術(shù)及電信運營商布局建議

為了應(yīng)對軟件供應(yīng)鏈中的各種安全威脅和挑戰(zhàn)，必須采取有效的安全治理技術(shù)來提高供應(yīng)鏈的可靠性和安全性。將軟件系統(tǒng)打造成可信任、可評估、組成成分透明的可信實體。

首先針對上游安全，電信運營商可依托于軟件供應(yīng)鏈的安全法律法規(guī)，建立內(nèi)部的軟件供應(yīng)鏈安全標準規(guī)范、軟件供應(yīng)鏈安全規(guī)章制度、軟件供應(yīng)鏈安全評價體系。并通過合同約束、安全審核、隔離防護、監(jiān)控處置、網(wǎng)絡(luò)安全審查等技術(shù)與管理相結(jié)合的風險管控措施，實現(xiàn)對軟件供應(yīng)鏈上游企業(yè)的風險控制。

在軟件的開發(fā)生產(chǎn)環(huán)節(jié)，軟件安全開發(fā)平臺既要支持傳統(tǒng)瀑布開發(fā)模式也支持敏捷開發(fā)模式，采用安全開發(fā)能力差距分析、威脅建模、源代碼安全檢測、組件成分分析等工具，在提升軟件研發(fā)安全質(zhì)量的同時保證了研發(fā)工作的效率。

在軟件的交付環(huán)節(jié)，根據(jù)國家法規(guī)要求進行供應(yīng)商安全評估，并配合軟件安全檢測技術(shù)：如代碼審計、軟件成分分析、動態(tài)安全檢測等建設(shè)可評估結(jié)果的可視化，支撐軟件交付安全關(guān)口。

在軟件的使用環(huán)節(jié)，通過建立軟件成分清單（如SBOM），源代碼管理、漏洞庫管理等安全風險管控機制，保證軟件供應(yīng)鏈數(shù)據(jù)的安全可信。并構(gòu)建軟件成分清單生成與使用規(guī)范，建立管理手段與工具方法庫，標準化軟件成分和軟件成分可視化流程，保證組件透明理念的落實。

在軟件運營階段，建設(shè)具備系統(tǒng)化、規(guī)?；能浖创a缺陷和異常行為代碼分析、軟件漏洞分析、開源軟件成分及風險分析等關(guān)鍵能力的安全監(jiān)測和管控平臺，為電信運營商重要信息系統(tǒng)提供安全監(jiān)督與管控服務(wù)，及時發(fā)現(xiàn)和處置軟件供應(yīng)鏈安全風險。

最后，運營商作為關(guān)鍵基礎(chǔ)信息體系的中堅力量，在軟件供應(yīng)鏈安全方面，還要積極開展創(chuàng)新技術(shù)應(yīng)用研究，推動區(qū)塊鏈、AI等新技術(shù)在軟件供應(yīng)鏈安全治理中的應(yīng)用，聯(lián)合高端研發(fā)機構(gòu)針對開源軟件應(yīng)用缺陷動態(tài)檢測技術(shù)進行突破，解決軟件供應(yīng)鏈安全檢測技術(shù)的難題，從源頭斷絕軟件供應(yīng)鏈安全隱患。

本文作者

劉美琪

中級工程師

中級工程師，長期從事網(wǎng)絡(luò)安全行業(yè)研究，專注于網(wǎng)絡(luò)安全市場情報分析研究。