信通院|软件供应链安全标准体系建设与洞察

郭雪,中国信通院云大所开源和软件安全部副主任

我从2015年开始做开源,到了2020年从开源往上追溯看到软件安全更多的内容,但当前的软件安全现状,大家更多关注渗透测试、代码审计的内容,而针对软件透明度跟踪比较少,所以我从开源入口开始关注到软件供应链安全当前存在的问题。

软件供应链安全研究背景

接下来我将以信通院的角度来说说什么是软件供应链安全,以及需要怎么做。由于近年来软件供应链安全事件频发,对于用户隐私、财产安全乃至国家安全造成了重大威胁。软件成为社会运转组件的同时,软件供应链安全也直接关系着关键基础设施和重要信息系统安全,使得保障软件供应链安全已然成为业界关注焦点。

信通院|软件供应链安全标准体系建设与洞察

目前企业软件供应链安全管理能力尚未完全建立,而软件供应链安全攻击事件在逐年飞速增长。据欧盟网络安全局(ENISA)2021 年 7 月发布的《供应链攻击威胁局势报告》显示,预计 2021 年的供应链攻击数量将增加至上一年的四倍之多。《2021 年软件供应链安全报告》显示,425 名大型企业的 IT、安全和 DevOps 主管中,64% 的人报告称去年受到了供应链攻击的影响。

根据 Cloudbees 2021 年发布的《全球首席级高管安全调查》数据显示,针对 500 名首席级高管进行的企业软件供应链状况调查,大约 45% 的受访者认为,在通过代码签名、工件管理和限制仅依赖可信注册机构等措施保护软件供应链方面,他们的工作只完成了一半,同时假设受访企业的软件供应链受到攻击,64% 的高管不知道应该先求助于谁。

信通院|软件供应链安全标准体系建设与洞察

以上可以看到问题的两个矛盾:

  • 软件供应链安全事件频发;
  • 大家不知道如何去做。

基于这个背景,信通院于 2020 年开展了相关的研究,参考美国国防部以及 Linux 基金会等给出的软件供应链安全的概念,软件供应链安全可以理解为:指软件供应链上软件设计与开发的各个阶段中来自本身的编码过程、工具、设备或供应链上游的代码、模块和服务的安全,以及软件交付渠道及使用过程安全的总和。

举个例子:牛奶,不知道奶源是哪,是哪个奶厂出厂,但经过实验发现,给小白兔喝没生病,给小老鼠喝没生病,从结果的角度上说软件安全。而软件供应链安全相当于这个牛奶标明了奶源是哪奶厂,是哪,生产日期等等,其本质就是软件的透明度。去做上游的可追溯,供应过程透明以及交付过程的安全。

可以看到软件供应链攻击有几个特性:

  • 攻击门槛低;
  • 隐蔽性强;
  • 影响范围广。

导致软件供应链安全面临五大挑战:

  • 设计开发复杂化导致漏洞产生;
  • 开源引入存在安全风险;
  • 快速交付致使安全验证周期缩短;
  • 交付机制面临安全隐患;
  • 使用阶段补丁安全存疑。
信通院|软件供应链安全标准体系建设与洞察

软件供应链安全标准体系

信通院围绕软件供应链安全标准体系在逐步完善。针对引入和交付过程研制了软件供应链安全管理成熟度模型的标准,其重点是在上游和下游交接过程中;针对安全生产产物,有研发运营安全的成熟度模型;针对下游交付的产品,有产品的标准。最后为了实现整个软件供应链的安全,需要有一整套工具链。

信通院|软件供应链安全标准体系建设与洞察

软件供应链安全生态建设

这部分将针对以上说到的三种标准进行解读。

1、软件供应链安全管理能力

软件供应链安全管理能力包含针对用户侧企业,考察软件供应链安全管理机制、供应链上游、开发链和供应链下游的全链路安全管理能力。第一个过程就是供应链上游,共有 4 部分组成:商业产品、开源、外包服务、云服务。其中大家对于商业采购、外包服务,包括银保监单独发的外包服务商的管理要求,都有相应成熟的管理规范,唯独开源这部分较弱。

在 2015 年时我自己做开源的时候,去跟某家金融机构交流,询问用了多少开源?回应零开源。当然我很震惊,这表现出大家对开源的使用并不了解、不掌握。近几年来变化很大,今年院里还做了一个调研,针对 60 多家金融机构,大概 40% 多的金融机构说自己开源软件组件的使用量过千,还有很多大的金融机构承认自己开源组件的使用量达到了上万,这说明已经开始使用检测工具进行开源的资产管理了。

针对软件供应链管理,其实大家都还在摸索,很多是安全部门尝试牵头,但是牵头起来有很大难度。因为其中涉及到采购、商业产品、外包服务商的管理,这就需要跟采购部门拉通,跟法务团队拉通,这种情况下有一些企业会专门建立虚拟团队。同时还有几方面很大的问题:一方面是物料清单,另一方面是老旧系统怎么去做软件供应链管理。

信通院|软件供应链安全标准体系建设与洞察

2、可信研发运营安全能力

研发运营安全主要针对安全开发,需要进行安全左移,需求、研发阶段便进行安全介入,从源头处降低安全风险,实现主动式安全防御,构建覆盖软件应用服务全生命周期的安全体系框架势在必行。这块标准主要是 SDL 以及 DevSecOps 内容的结合,从要求需求设计、开发、验证、发布运营下线全套过程的这个安全应该如何介入?列出了一些管理制度和这个组织架构的要求。

信通院|软件供应链安全标准体系建设与洞察

研发运营安全的标准在实现中也存在一些难点,例如 SDL 多年来难以落地有同样的问题,第一它很重,第二让开发同学都懂安全本身难度就很大。在落地过程中需要关注四个点:第一,要自上而下地推,在这个过程中要把研发、安全运维的同学都打通;第二,需要有相应的平台做支持;第三,整个运营过程中要形成数据的联动反馈;第四,形成闭环助力,协调机制的建立。

信通院|软件供应链安全标准体系建设与洞察

3、面向供应链的信息技术产品安全基线要求标准

面向供应链的信息技术产品安全基线要求标准,标准是通标线航标正在这个立项过程中,也欢迎大家参与。这部分总的分为两块,安全功能要求和安全保障要求。这个标准与上面讲到的安全开发体系标准是配套的。标准是体系的,是指怎么做好安全开发这套体系。而研发运营安全标准是结果的,是指最后依据这套安全开发体系,产品的实际要求是什么。

信通院|软件供应链安全标准体系建设与洞察

最后一个标准是 SBOM (软件物料清单),SBOM 很关键,在软件供应链处于一个非常核心的位置,是整个软件供应链里面一个很重要的抓手。参考国外有一些 SPDX 等相关的格式规范,列出了国内 SBOM 的标准,是通标的一个航标,主要包括三部分内容:

  • 数据层:需要列出基本的数据要素,包括软件信息需要记录哪些组件信息、文件信息等等,对数据层规范了基本要求;
  • 构建层:对生成方式、生成频率、生成深度提出了规范要求;
  • 应用层:对应用于软件资产管理、漏洞管理、安全事件响应等提出了规范要求。
信通院|软件供应链安全标准体系建设与洞察

规划与展望

信通院也成立了一个软件供应安全的实验室,去做标准的讨论。大家如果感兴趣,欢迎加入我们去共同做一些讨论。

今年我们会持续完善相关标准,分别是SBOM、RASP、DevSecOps、产品安全基线标准。

最后我觉得软件供应链并不是一个企业的事情,也不是信通院自己可以研究完成的事情,它是一个生态的事情。因为开源的生态很大,包括整个软件的组成分析非常复杂,其实是需要大家共建共享的,所以也希望大家能够持续参与院里的标准和生态建设。

信通院|软件供应链安全标准体系建设与洞察
(0)
上一篇 2023年8月9日 下午9:26
下一篇 2023年8月9日 下午9:35

相关推荐

  • 用社区和开发者工具驱动软件供应链安全治理

    本文整理自 OSCS 软件供应链安全技术论坛- 章华鹏老师开场致辞的分享内容。 章华鹏,十二年的企业安全建设、安全社区白帽子、开发者,先后在百度、贝壳负责过企业安全建设 ,也在乌云负责过安全产品,业余时间活跃于安全技术社区,帮助企业、开源项目、软件公司解决过数百个严重安全问题,现在负责墨菲安全和 OSCS 社区,专注于软件供应链安全方向。 软件供应链安全的概…

    2023年8月9日
    0
  • 技术驱动——打造最实用的软件供应链安全工具

    本文整理自 OSCS 软件供应链安全技术论坛- 欧阳强斌老师的分享《技术驱动——打造最实用的软件供应链安全工具》完整内容。 欧阳强斌 墨菲安全联合创始人、墨菲安全实验室负责人, 大家好,我是欧阳强斌,来自墨菲安全专注在软件供应链安全领域的一家创新公司。很高兴能够在这里分享我们对软件供应链安全的理解,以及我们以技术驱动的产品实践。 软件供应链安全并不新鲜 19…

    2023年8月9日
    0
  • 快手安全 X 墨菲安全|软件供应链安全解决方案完整分享

    本次分享由墨菲安全联合创始人&研发负责人宇佰超于 9 月 26 日快手安全沙龙中分享,本次主题《软件供应链安全体系、方法与落地》,文末附本次分享视频链接,欢迎大家查阅分享,如有任何欢迎联系我们一起交流讨论~ 随着国家 IT 及信息化的推广与普及、IT 行业的快速发展,软件供应链体系愈发的成熟。企业软件开发与信息化建设过程中,涉及与使用到的供应链比重越…

    2023年8月9日
    0
  • 如何通过漏洞可利用性交换来帮助医疗保健优先考虑网络安全风险

    作者:Taylor Lehmann、Seth Rosenblatt 诊断和治疗慢性疼痛可能是复杂的、困难的,对患者和医生来说充满了不确定性。根据患者的状况和医生的知识水平,做出正确的诊断需要时间,可能还需要尝试不同的治疗方法。 这种反复试验的过程可能使患者陷入痛苦和困惑的境地,直到能够开出最佳的药方。这种情况类似于许多当今安全运营团队所面临的日常挑战。 站在…

    2023年8月10日
    0
  • 蚂蚁供应链安全建设实践

    本文整理自 OSCS 软件供应链安全技术论坛- 边立忠(京蛰)老师的分享《蚂蚁供应链安全建设实践》完整内容。 边立忠,蚂蚁集团高级安全专家,蚂蚁集团应用安全产品中台负责人,主要负责蚂蚁 SCA、IAST、SAST、镜像安全扫描等供应链安全相关产品的建设和技术研究。 大家好,我是边立忠,很高兴今天有机会给大家做一个软件供应链安全相关的分享。 我在蚂蚁主要负责 …

    2023年8月9日
    0