《軟件供應鏈安全治理與運營白皮書(2022)》正式發布
2022年8月1日,由懸鏡安全、ISC、中國電信研究院共同編撰的《軟件供應鏈安全治理與運營白皮書(2022)》于ISC互聯網安全大會懸鏡出品的“軟件供應鏈安全治理與運營論壇”上正式發布。白皮書重點梳理了軟件供應鏈安全現狀和面臨的挑戰,闡述了軟件供應鏈安全治理體系和開源威脅治理方案,旨在幫助讀者加強軟件供應鏈安全意識,豐富治理思路。
圖1 《軟件供應鏈安全治理與運營白皮書(2022)》正式發布
Gartner分析指出,“到2025年,全球45%組織的軟件供應鏈將遭受攻擊,比2021年增加了三倍。”可見,軟件供應鏈的安全威脅將越來越嚴重。近年來,軟件供應鏈攻擊事件越來越多,如何進行此類威脅治理是眾多企業關注的重心。畢竟網絡安全關乎著企業是否正常運轉,是國民經濟能否正常運行的重要前提,而軟件供應鏈安全作為網絡安全的重要組成部分,是實現網絡安全的重要前提。
本白皮書在第一章介紹了軟件供應鏈安全的發展背景,從政策法規驅動和行業標準規范等維度,對軟件供應鏈的重要性進行了詳述;在軟件供應鏈安全現狀章節詳述了近年以來的軟件供應鏈安全相關事件,迄今為止算是比較詳細地將此類事件做了總結,并針對三個典型事件進行了剖析,通過系統性整理、分析和研究,歸納總結了軟件供應鏈風險的8項典型特征;同時延展了軟件供應鏈安全的風險。相較以往,對諸多內容都做了更充分的說明。詳細內容可自行查閱。
圖2 《軟件供應鏈安全治理與運營白皮書(2022)》目錄
軟件供應鏈安全治理體系
報告詳述了軟件供應鏈安全治理的常用框架,此外還構建了一套較為全面系統的軟件供應鏈安全治理體系,借助安全自動化工具,實現對軟件供應鏈全鏈路的安全風險治理。
圖3 軟件供應鏈安全治理體系
開源威脅治理
Perforce的Open Source Initiative(OSI)和OpenLogic聯手開展了一項關于開源軟件狀態的全球調查,數據顯示,在過去12個月中,77%的受訪者在其組織中增加了對開源軟件的使用,36.5%的受訪者表示他們的使用量顯著增加。
也有數據顯示,有90%的組織都依賴于開源軟件,而且開源軟件也經常被嵌入到其他開源項目中。但是,盡管開源為企業的創新和快速發展提供了源動力,但與之而來的還有安全風險問題,為攻擊者提供了潛在的安全威脅入口點。
白皮書描述了開源軟件安全風險、開源威脅治理技術、開源威脅治理前提、開源威脅治理階段等內容,也從開源的SCA工具和商業化的SCA工具兩個維度為讀者介紹了代表性的SCA工具,讓讀者對各工具有更深入的了解,還包含以下開源SCA工具對比表,更詳細的對比項請查看白皮書。
圖4 開源SCA工具對比
不管是國內還是國外的應用安全廠商,都有自己成熟的AST工具鏈、甚至還有平臺和服務體系,也衍生了更豐富的工具布局和規劃設計,以適應云原生、物聯網、產業互聯網等不同應用場景的需求。在開源治理中,企業應該選擇具有怎樣能力的商業化SCA工具,白皮書也做了詳細介紹。
最后
科技的發展讓社會協作變得更加高頻和具有深度,在信息技術行業亦是如此。我們自己的業務系統會集成第三方的代碼、使用第三方提供的開發環境、應用第三方生產的構建工具、運行在第三方開發的微服務和容器之上,這種深度協作方式讓我們的業務生產和運營效率指數級提升,但同時帶來的,也有軟件供應鏈風險史無前例的增長。
SolarWinds Orion事件讓人們見識了供應鏈攻擊能做到什么,Apache Log4j2漏洞讓人們了解了開源代碼的千瘡百孔,Equifax信息泄露事件讓人們知道了大型企業的安全建設在軟件供應鏈安全漏洞前是多么的脆弱不堪。這一切,促成了我們對本報告的編撰工作,我們希望用系統性的思維和方式,收集、分析、整理、闡述軟件供應鏈安全治理與運營的方方面面。由于篇幅所限,本文提及的工具、方法和措施只是軟件供應鏈安全領域的滄海一粟,更多的還需要讀者在實踐中探尋。
