RSAC2022 | 一文讀懂“熱度高漲”的軟件供應鏈安全~

軟件供應鏈安全在當前供應鏈攻擊、貿易戰、國際最新局勢等因素的影響下成為RSAC十大熱門主題之一。在本文中，啟明星辰集團通過結合本屆RSAC在軟件供應鏈安全主題提出的新思路與觀點，以及自身在該領域所積累的豐富安全實踐成果，為大家就當前供應鏈安全形勢及未來發展趨勢進行了詳細分析，助力保障軟件供應鏈安全產業穩定、健康發展。

看RSAC如何推動軟件供應鏈安全發展

由于軟件供應鏈的攻擊范圍廣、方式隱蔽、危害大，給企業安全防護帶來了極大的挑戰，所以做好軟件供應鏈安全的防護勢在必行，以色列公司Cycode也憑借軟件供應鏈安全的概念又一次入圍沙盒創新十強。下面從RSAC歷屆DevSecOps解決方案廠商的思路來看軟件供應鏈安全的技術發展趨勢。

• 早在2017年，DevSecOps就被RSAC所引入，會上明確了DevSecOps實踐的主體內容，并提出了左移安全前置的思想。
• 在2018年RSAC上更是通過“Golden Pipeline”的概念，強調在軟件供應鏈安全上，自動化工具是必不可少的，其中CyberGRX作為第三方網絡風險管理平臺在大會上嶄露頭角，它從幫助企業理解和管理供應鏈威脅載體為出發點，通過對企業軟件供應商進行全面調查，達成提早實現威脅探知的目的。
• 2019年RSAC中特設的子主題“DevOps Connect”，DevSecOps進入到全面爆發期，會議強調了DevSecOps落地實踐過程中文化融合的意義，并期望通過CI/CD管道輔以有效度量機制來實現效率上的提升。

DevSecOps在國內的發展情況

在DevSecOps興起的浪潮下，越來越多企業將它應用到自身的開發安全架構當中，但在融入DevSecOps開發環境模型的過程中，如何解決企業自身供應鏈安全的問題也引發了大家的關注。

首先是文化融合。眾所周知，人的本性是喜歡待在自身可掌控的舒適區。如今大部分企業轉向DevSecOps的頭號挑戰，來自文化層面的抵觸情緒。許多人認為安全保障會拖慢軟件開發工作速度、甚至阻礙自身創新。

其次，DevSecOps強調開發人員與安全專家統一協作，二者共同建立起協作環境。但在兩大團隊間總是存在一定程度的摩擦，甚至認為對方總在跟自己作對。舉個例子：例如軟件外包公司的首要目標是滿足客戶的業務需求，開發人員希望不斷提升代碼的交付速度。但是在安全團隊看來，他們的工作重點在于保障代碼的安全，而這兩個截然不同的目標導致團隊之間難以彼此理解、協同工作。

再次，安全人員的不足也可能影響DevSecOps的建設。盡管很多企業在從事DevSecOps的落地工作，但人員能力水平參差不齊，知識儲備低下的狀況為企業造成了不小的麻煩。據《網絡信息安全人才發展報告》指出，我國網絡安全人才仍處于供不應求的狀態。

最后，DevSecOps在實踐過程中遇到的另一個挑戰是自動化工具的不足。DevSecOps非常依賴自動化工具來完成版本管理、缺陷管理、代碼構建、漏洞掃描等工作。盡管供應鏈安全領域一些開可以找到一些開源和商業工具，但在國產化的行業背景下，這些工具存在功落地的實際需求。

運用DevSecOps理念

建設軟件供應鏈安全體系

根據RSAC歷年的DevSecOps理念，相關單位要做好軟件供應鏈技術產品的安全開發往往需要從管理層面和技術層面出發，開展體系化的建設工作。

? 軟件供應鏈安全管理方面

1、加強安全開發環境的可控性

在軟件開發階段需設置有安全可控的工作場所，并針對開發過程搭建專用的開發環境和測試環境，配備安全、可信、可靠的安全開發工具，設置按角色分配的合理權限，確保開發過程和測試過程可控，保障軟件研發資產安全。

2、加強質量管理體系融合

根據軟件供應鏈安全的開發生命周期建立合理的組織架構和管理架構來滿足產品安全開發的實施和管理。

3、加強安全開發技術培訓

給所有的研發人員培訓DevSecOps方法流程，讓每個研發人員實現互動關系，也讓每個研發人員理解DevSecOps 的工作以及對整體產品安全主體的理解。開發人員了解線程模型和合規性檢查，并了解如何衡量風險以及如何實施安全控制，從而確保組織中的所有人了解公司的安全狀況，遵循相同的標準。

? 軟件開發技術方面

1、構建詳細的軟件物料清單

軟件供應鏈安全始于對關鍵環節的可見性，企業需要為每個應用程序持續構建詳細的 SBOM（Software Bill of Material，軟件物料清單）從而全面洞察每個應用軟件的組件情況，為突發的漏洞提供應急的措施。

2、合理使用好安全開發工具

自動化工具的使用，可有效減少人工檢測的時間消耗和成本投入，提高檢測效率。軟件安全開發領域常見的安全開發工具，使用的技術包括：SAST技術、DAST技術、IAST技術和FUZZ技術。因此，保障軟件供應鏈安全，需在DevSecOps的不同階段應用不同的自動化安全技術。

? 供應商管理方面

針對軟件的提供商進行嚴格的審核，包括從財務實力、質量承諾、企業資質、技術儲備等方面，通過考察軟件供應商的綜合實力，以選擇最合適的合作伙伴，保障軟件產品的安全性。

RSAC創新沙盒持續關注網絡安全行業熱點方向，引領技術創新，為軟件供應鏈安全的技術實現提供了可行的解決方案。相信未來會有更多的軟件供應鏈安全廠商入圍創新沙盒，推動更多創新技術的發展。