0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

软件供应链安全如此重要,但为什么难以解决?

科技云报到 来源:jf_60444065 作者:jf_60444065 2023-08-28 22:05 次阅读

科技云报道原创

软件供应链安全如今已经成了一个世界性难题。从2021年底Apache Log4j“核弹级”风险爆发,时至今日影响仍然存在,保障软件供应链安全已成为业界关注焦点。

但近2年时间过去了,软件供应链安全问题似乎并没有得以缓解,安全事件层出不穷,开源漏洞风险与日俱增。

Venafi对来自全球不同企业的1000位CIO调研显示,其中82%的人表示他们的组织容易受到针对软件供应链的网络攻击。

奇安信《2023中国软件供应链安全分析报告》显示,开源项目维护者对安全问题的重视度和修复积极性较低。

同时,不活跃(超过一年未更新发布过版本)的开源软件,一旦出现安全漏洞,难以得到及时修复。

为什么人人都知道软件供应链安全问题很重要,却难以解决?

软件供应链安全与开源息息相关

要搞清楚软件供应链安全的症结,先得厘清其涵义。

基于中国信通院的定义,软件供应链安全是指“软件供应链上软件设计与开发的各个阶段中来自本身的编码过程、工具、设备或供应链上游的代码、模块和服务的安全,以及软件交付渠道及使用过程安全的总和。”

这里是把软件供应链安全分为了两部分:一是软件自身的供应链安全,二是软件供应链交界面的安全管理。

软件自身的供应链,可以简单理解为应用的代码来源,应用的代码来源主要有两个部分:一个是产品研发自己写的代码,另一个就是引入的第三方的开源组件代码。针对这两者的安全检测也是我们常说的开发安全。

软件供应链交接界面,针对的是开源软件或者商业采购第三方软件。

这部分的供应链安全管理,主要是在交付和使用过程中进行相关的准入检测,并形成标准化可溯源的软件物料清单。

事实上,软件供应链的安全的重要性提升和开源的大趋势是息息相关的。

软件开源化的趋势是一个累积的过程,十几年的时间经历了一个量变到质变的阶段,现在全球的开发者都在依赖开源组件来做应用的研发,绝大多数现代代码库都包含开源组件。

但是开源的繁荣本身就建立在一系列自由许可协议和免责条款上——其中也包括风险免责,“使用者风险自负”是开源社区的共识。

近年来,开源软件自身的安全状况持续下滑,企业软件开发中因使用开源软件而引入安全风险的状况更加糟糕,例如:危险开源组件的使用、自研代码缺陷漏洞引入、容器镜像漏洞引入等,这些风险导致软件系统的整体安全防护难度越来越大。

因此,开源软件供应链安全风险治理任重道远。

直面软件供应链安全治理挑战

尽管业界已经普遍认识到软件供应链安全的重要性,但治理起来依然面临重重挑战。

腾讯安全开发安全专家刘天勇表示,从技术角度看,软件供应链安全的治理的难点可以分成三部分:

一是检测门槛高。

开源组件的来源复杂,依靠单一的技术手段难以做到全面覆盖。

市面上常见的开源组件检测技术是基于源代码的SCA分析,但基于源码的SCA难以覆盖软件供应链交接界面的第三方软件成品。

二是修复成本高。

在企业开始做开源组件的风险治理的时候,存量业务往往会发现大量的漏洞,但这些业务大多数处于上线运营的阶段,修复的过程对研发资源是一个较大的消耗,同时对安全团队来说也是较大的推动阻力。

三是攻击影响范围广。

第三方开源组件的使用,间接扩大了软件的受攻击面,针对上游供应链环节的漏洞挖掘和恶意利用,能够快速覆盖大量的下游软件,同时相关的攻击具有较高的隐蔽性,常用的安全检测手段难以进行全面的防御,目前软件供应链攻击已经成为攻防演练中非常常用的攻击手段。

此外,供应商对产品安全性的重视程度不足、开发人员安全开发能力有限等,导致第三方供应商产品安全质量参差不齐,也加大了软件供应链安全治理的难度。

那么,企业该如何应对这些挑战?在技术上是否有对应的解决手段?

SCA和SBOM

当前,SCA(Software Composition Analysis)是目前业界主要的解决开源组件风险检测的手段。

SCA是一类工具的统称,可以通过分析源代码识别其中引用的开源组件信息(名称、版本、校验值)、组件漏洞、开源协议等信息,从而帮助开发人员和安全人员快速对于企业代码中的开源风险进行识别。

随着供应链安全开始获得更多关注,SCA工具内置了对与跟踪组件相关的漏洞和安全风险的更深入分析和管理,并成为企业生成SBOM和管理其开源使用的主要方法之一。

Linux基金会最近的一项调查发现,SBOM的意识度很高,目前有47%的IT供应商、服务提供商和受监管的行业在使用SBOM,88%的受访者预计将在2023年使用SBOM。

代码扫描和渗透测试

保护软件供应链的核心是一个应用程序安全问题,因此传统的应用程序安全代码扫描工具将在这个解决方案堆栈中发挥重要作用。

静态应用程序安全测试(SAST)、动态应用程序安全测试(DAST)、交互式应用程序安全测试 (IAST)和运行时应用程序扫描保护(RASP)工具,以及明智地使用渗透测试,可以帮助企业测试他们自己的内部代码,并提供对第三方代码的进一步检查,以作为应对风险的后盾。

相比于SCA和SBOM产品依赖于已知的、先前发现的漏洞,彻底的应用程序渗透评估可能会在检查第三方库和框架时识别出脆弱的代码使用情况,而这些代码以前可能在其他地方没有报告过。

此外,共享机密扫描和管理也正在从一个独立的工具类别快速转变为一个功能,该功能正在融入软件供应链安全工具的各个方面。

这是因为在开发和实际环境中,针对嵌入在源代码、配置文件和基础设施代码中的机密数据的网络攻击活动仍然猖獗,因此迫切需要解决这个问题。

此外,依赖关系管理和分析、受信任的存储库和注册中心、安全代码签名、CI/ CD管道安全性、第三方风险管理平台、IaC安全和CNAPP,都是软件供应链安全治理要重点关注的对象。

正如Gartner公司的高级主管兼应用安全分析师Dale Gardner所说:“当人们关注供应链安全时,他们关注的是使用SCA、SBOM等工具,这些都是解决方案中非常重要的部分,但它们实际上只是一种不全面的解决方案。”

软件供应链安全治理并非纯粹的技术问题

事实上,软件供应链安全问题是人、流程和知识的问题,而非纯粹的技术问题。

在解决软件研发过程的供应链安全问题时,需要贴合SDLC(软件开发生命周期)考虑供应链安全风险。

为此,Goolge提出了SLSA(Supply-chain Levels for Software Artifacts)框架,微软提出了SCIM(Supply Chain Integrity Model)框架以及CNCF(云原生计算基金会)的软件供应链最佳实践,三种框架都强调对于源代码、第三方依赖、构建系统、制品、发布、部署的安全性。

以SLSA框架为例,SLSA是一个标准清单和控制框架,用于缓解软件项目中的代码和软件包的供应链风险。

SLSA框架从三个方面评估软件供应链的安全等级,分别是源码、构建和依赖,并可划分为4个级别:

Level 1:构建过程是完全脚本化或自动化,且能够基于结果识别来源源码;

Level 2:使用有身份认证能力的版本控制和托管服务,确保构建来源是可信的;

Level 3:源码和构建平台符合可审计标准,且有成品完整性保证;

Level 4:所有变更均有双人评审,且有封闭的、可重复的构建过程。

以Level 4等级要求为例,在软件构建过程中企业需要实践以下4点:可验证的版本控制、双人评审、安全的自动化构建流程/环境、可重复构建的流程。

结语

软件供应链上每一个环节的安全问题,都有可能成为黑客攻击的切入口。千里之堤毁于蚁穴,把住软件供应链每个关卡,莫让小小漏洞成为洪水猛兽。

【关于科技云报道】

专注于原创的企业级内容行家——科技云报道。成立于2015年,是前沿企业级IT领域Top10媒体。获工信部权威认可,可信云、全球云计算大会官方指定传播媒体之一。深入原创报道云计算、大数据、人工智能区块链等领域。

审核编辑 黄宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 开源
    +关注

    关注

    3

    文章

    3442

    浏览量

    42824
  • SCA
    SCA
    +关注

    关注

    1

    文章

    36

    浏览量

    12018
  • 供应链
    +关注

    关注

    3

    文章

    1688

    浏览量

    39078
收藏 人收藏

    相关推荐

    AI大模型在工业领域的供应链管理方向的应用

    AI 大模型在工业领域的供应链管理中具有精准预测、个性化需求预测、动态实时调整和供应商管理风险评估与预警等功能,帮助企业提高供应链效率和应对市场变化。
    的头像 发表于 02-14 11:40 166次阅读
    AI大模型在工业领域的<b class='flag-5'>供应链</b>管理方向的应用

    传感器企业要打赢突围战,供应链上如何破局

    传感器作为数据信息获取的唯一功能器件,其重要性不言而喻。而供应链,作为这一高精尖领域的血脉,其高效运作与优化配置,直接关乎产业的发展与未来。 传感器专家网作为传感器产业平台领航者,不断探索数字科技在
    的头像 发表于 02-11 14:34 102次阅读
    传感器企业要打赢突围战,<b class='flag-5'>供应链</b>上如何破局

    传感器千亿级市场,正在走向拼供应链时代!

    传感器作为数据信息获取的唯一功能器件,其重要性不言而喻。而供应链,作为这一高精尖领域的血脉,其高效运作与优化配置,直接关乎产业的发展与未来。 传感器专家网作为传感器产业平台领航者,不断探索数字科技在
    的头像 发表于 01-21 16:41 139次阅读
    传感器千亿级市场,正在走向拼<b class='flag-5'>供应链</b>时代!

    东软获《电信和互联网软件供应链安全能力成熟度模型》第三等级认证

    供应链安全治理体系中的一项重要举措,其核心在于通过全面评估供应商的安全能力,确保供应链各关键环节
    的头像 发表于 01-15 17:31 417次阅读

    天合光能入选国家级数字化供应链案例

    近日,工业和信息化部公示“2024年实数融合典型案例名单”,天合光能以“基于产销协同一体化的供应链精细数字化管控”成功入选国家级数字化供应链案例,这是继国家绿色供应链、全国供应链创新与
    的头像 发表于 01-13 11:48 288次阅读

    利用Minitab应对供应链中断问题

    供应链中断是不可避免的,积极的措施和数据驱动的战略可以减轻其影响。Minitab全面的数据分析和问题解决工具使组织能够分析、优化和调整其供应链,以应对不可预见的挑战,确保面对中断时的弹性和连续性。
    的头像 发表于 01-02 17:16 186次阅读

    中星微荣获金融科技供应链安全示范机构称号

    在近日举行的2024青岛财富论坛上,中星微技术股份有限公司(以下简称“中星微技术”)下属北京中星微人工智能芯片技术有限公司获得金融科技供应链安全示范机构称号,其研发的星光智能系列芯片同时通过国家金融
    的头像 发表于 12-27 15:49 260次阅读

    紫光同芯荣获金融科技供应链安全示范机构

    的创新引领作用。紫光同芯荣获由北京国家金融科技认证中心颁发的“金融科技供应链安全示范机构”证书,在金融科技供应链安全管理和安全生态建设中发挥
    的头像 发表于 12-25 17:08 368次阅读

    2024开源和软件安全沙龙启幕,基调听云加入3S-Lab软件供应链安全实验室

    12月19日由中国通信标准化协会主办、中国信息通信研究院(以下简称"中国信通院")承办的2024开源与软件安全沙龙在北京隆重举办,中国信通院为3S-Lab软件供应链
    的头像 发表于 12-25 15:19 235次阅读
    2024开源和<b class='flag-5'>软件</b><b class='flag-5'>安全</b>沙龙启幕,基调听云加入3S-Lab<b class='flag-5'>软件</b><b class='flag-5'>供应链</b><b class='flag-5'>安全</b>实验室

    智能制造装备行业的供应链特点分析

    智能制造装备行业供应链涉及多个环节,包括原材料采购、生产制造、物流配送和售后服务等,其特点包括复杂性与多样性、全球化与分散性、技术密集型和快速变化性。供应链面临的挑战包括数据孤岛、信息不对称、供应链中断风险和成本控制难度大等。
    的头像 发表于 11-28 10:15 372次阅读
    智能制造装备行业的<b class='flag-5'>供应链</b>特点分析

    活动回顾 艾体宝 开源软件供应链安全的最佳实践 线下研讨会圆满落幕!

    艾体宝与Mend举办研讨会,聚焦开源软件供应链安全,邀请行业专家分享合规管理、治理之路及最佳实践,圆桌讨论加深理解,助力企业更安全稳健发展。
    的头像 发表于 10-30 17:52 563次阅读
    活动回顾 艾体宝 开源<b class='flag-5'>软件</b><b class='flag-5'>供应链</b><b class='flag-5'>安全</b>的最佳实践 线下研讨会圆满落幕!

    深入了解半导体供应链:特点、风险与未来趋势

    半导体是现代电子工业的核心,其供应链涵盖了从原材料提炼到最终产品应用的整个过程。了解半导体供应链对于理解当今高科技产业的运作至关重要。本文将详细介绍半导体供应链的相关知识,包括其定义、
    的头像 发表于 07-11 09:42 1433次阅读
    深入了解半导体<b class='flag-5'>供应链</b>:特点、风险与未来趋势

    生成式AI之下,软件供应链安全的升级更迫切

    电子发烧友网报道(文/黄晶晶)AI大模型不仅能够文生图、文生视频、人机对话等,还能够帮助开发人员写代码,这又出现另一个问题,ChatGPT产生的代码也可能存在漏洞。可以说,全球软件供应链安全
    的头像 发表于 05-31 18:05 7094次阅读
    生成式AI之下,<b class='flag-5'>软件</b><b class='flag-5'>供应链</b><b class='flag-5'>安全</b>的升级更迫切

    戴尔荣获Gartner供应链的最高荣誉“年度供应链突破奖”

    Gartner Power of the Profession供应链奖项由全球领先的研究顾问公司Gartner主办,至今已举办了10个年头。
    的头像 发表于 03-19 10:36 770次阅读
    戴尔荣获Gartner<b class='flag-5'>供应链</b>的最高荣誉“年度<b class='flag-5'>供应链</b>突破奖”

    掌控供应链,决胜市场:SCM供应链管理系统的战略意义

    SCM供应链管理系统是现代企业管理中的重要组成部分,它通过整合和优化供应链中的各个环节,实现企业资源的高效利用和协同运作。
    的头像 发表于 03-06 10:54 508次阅读