2022年8月1日,由懸鏡安全、ISC、中國電信研究院共同編撰的《軟體供應鏈安全治理與運營白皮書(2022)》於ISC網際網路安全大會懸鏡出品的“軟體供應鏈安全治理與運營論壇”上正式釋出。白皮書重點梳理了軟體供應鏈安全現狀和麵臨的挑戰,闡述了軟體供應鏈安全治理體系和開源威脅治理方案,旨在幫助讀者加強軟體供應鏈安全意識,豐富治理思路。
圖1 《軟體供應鏈安全治理與運營白皮書(2022)》正式釋出
Gartner分析指出,“到2025年,全球45%組織的軟體供應鏈將遭受攻擊,比2021年增加了三倍。”可見,軟體供應鏈的安全威脅將越來越嚴重。近年來,軟體供應鏈攻擊事件越來越多,如何進行此類威脅治理是眾多企業關注的重心。畢竟網路安全關乎著企業是否正常運轉,是國民經濟能否正常執行的重要前提,而軟體供應鏈安全作為網路安全的重要組成部分,是實現網路安全的重要前提。
本白皮書在第一章介紹了軟體供應鏈安全的發展背景,從政策法規驅動和行業標準規範等維度,對軟體供應鏈的重要性進行了詳述;在軟體供應鏈安全現狀章節詳述了近年以來的軟體供應鏈安全相關事件,迄今為止算是比較詳細地將此類事件做了總結,並針對三個典型事件進行了剖析,透過系統性整理、分析和研究,歸納總結了軟體供應鏈風險的8項典型特徵;同時延展了軟體供應鏈安全的風險。相較以往,對諸多內容都做了更充分的說明。詳細內容可自行查閱。
圖2 《軟體供應鏈安全治理與運營白皮書(2022)》目錄
軟體供應鏈安全治理體系
報告詳述了軟體供應鏈安全治理的常用框架,此外還構建了一套較為全面系統的軟體供應鏈安全治理體系,藉助安全自動化工具,實現對軟體供應鏈全鏈路的安全風險治理。
圖3 軟體供應鏈安全治理體系
開源威脅治理
Perforce的Open Source Initiative(OSI)和OpenLogic聯手開展了一項關於開源軟體狀態的全球調查,資料顯示,在過去12個月中,77%的受訪者在其組織中增加了對開源軟體的使用,36.5%的受訪者表示他們的使用量顯著增加。
也有資料顯示,有90%的組織都依賴於開源軟體,而且開源軟體也經常被嵌入到其他開源專案中。但是,儘管開源為企業的創新和快速發展提供了源動力,但與之而來的還有安全風險問題,為攻擊者提供了潛在的安全威脅入口點。
白皮書描述了開源軟體安全風險、開源威脅治理技術、開源威脅治理前提、開源威脅治理階段等內容,也從開源的SCA工具和商業化的SCA工具兩個維度為讀者介紹了代表性的SCA工具,讓讀者對各工具有更深入的瞭解,還包含以下開源SCA工具對比表,更詳細的對比項請檢視白皮書。
圖4 開源SCA工具對比
不管是國內還是國外的應用安全廠商,都有自己成熟的AST工具鏈、甚至還有平臺和服務體系,也衍生了更豐富的工具佈局和規劃設計,以適應雲原生、物聯網、產業網際網路等不同應用場景的需求。在開源治理中,企業應該選擇具有怎樣能力的商業化SCA工具,白皮書也做了詳細介紹。
最後
科技的發展讓社會協作變得更加高頻和具有深度,在資訊科技行業亦是如此。我們自己的業務系統會整合第三方的程式碼、使用第三方提供的開發環境、應用第三方生產的構建工具、執行在第三方開發的微服務和容器之上,這種深度協作方式讓我們的業務生產和運營效率指數級提升,但同時帶來的,也有軟體供應鏈風險史無前例的增長。
SolarWinds Orion事件讓人們見識了供應鏈攻擊能做到什麼,Apache Log4j2漏洞讓人們瞭解了開原始碼的千瘡百孔,Equifax資訊洩露事件讓人們知道了大型企業的安全建設在軟體供應鏈安全漏洞前是多麼的脆弱不堪。這一切,促成了我們對本報告的編撰工作,我們希望用系統性的思維和方式,收集、分析、整理、闡述軟體供應鏈安全治理與運營的方方面面。由於篇幅所限,本文提及的工具、方法和措施只是軟體供應鏈安全領域的滄海一粟,更多的還需要讀者在實踐中探尋。
如何獲取報告?
關注懸鏡安全服務號,後臺回覆關鍵詞:軟體供應鏈報告,即可下載