鏈應(yīng)供件軟書皮術(shù)應(yīng)對(duì)安全挑戰(zhàn)透視軟件供應(yīng)安全技鏈應(yīng)供件軟書皮術(shù)應(yīng)對(duì)安全挑戰(zhàn)透視軟件供應(yīng)安全技透視軟件供應(yīng)鏈，攜手應(yīng)對(duì)安全挑戰(zhàn)軟件供應(yīng)鏈安全技術(shù)白皮書軟件供應(yīng)鏈安全技術(shù)白皮書軟件供應(yīng)鏈安全技術(shù)白皮書為避免合作伙伴及客戶數(shù)據(jù)泄露,所有數(shù)據(jù)在進(jìn)行分析前都已經(jīng)，綠盟科技集團(tuán)股份有限公司(以下簡稱綠盟科技)，成立于20002軟件供應(yīng)鏈安全作為現(xiàn)代供應(yīng)鏈安全的重點(diǎn)考慮因素之一，是保障我國新基建穩(wěn)步是要靶向聚焦、著力剖析供應(yīng)鏈風(fēng)險(xiǎn)產(chǎn)生的內(nèi)部動(dòng)因和運(yùn)行機(jī)理。近年來，供應(yīng)鏈安全事件頻發(fā)。隨著SDX和低代碼等技術(shù)在數(shù)字化轉(zhuǎn)型浪潮的廣泛應(yīng)用，軟件開源作為業(yè)界領(lǐng)先的網(wǎng)安代表性企業(yè)，在新安盟指導(dǎo)下，綠盟主持撰寫的軟件供應(yīng)鏈安用。中國科學(xué)院大學(xué)教授翟立東執(zhí)行摘要0011軟件供應(yīng)鏈安全威脅與趨勢0031.1軟件供應(yīng)鏈面臨的安全威脅0041.2軟件供應(yīng)鏈攻擊的發(fā)展趨勢0072供應(yīng)鏈安全國內(nèi)外形勢0102.1國內(nèi)外供應(yīng)鏈安全政策與發(fā)展0112.2國內(nèi)外供應(yīng)鏈安全標(biāo)準(zhǔn)與實(shí)踐0153軟件供應(yīng)鏈安全技術(shù)框架0193.1軟件供應(yīng)鏈安全0203.2軟件供應(yīng)鏈安全理念021軟件供應(yīng)鏈安全技術(shù)框架0274軟件供應(yīng)鏈安全關(guān)鍵技術(shù)0284.1軟件成分清單生成及使用技術(shù)0292軟件供應(yīng)鏈安全檢測技術(shù)0393軟件供應(yīng)鏈數(shù)據(jù)安全技術(shù)0545軟件供應(yīng)鏈安全解決方案0585.1供應(yīng)鏈安全監(jiān)督0595.2供應(yīng)鏈安全管控0676行業(yè)、企業(yè)最佳實(shí)踐0806.1銀行業(yè)金融機(jī)構(gòu)信息科技外包安全實(shí)踐0816.2交通運(yùn)輸企業(yè)供應(yīng)鏈安全監(jiān)督檢查實(shí)踐0827典型供應(yīng)鏈攻擊案例復(fù)盤085arWindsLogj0888軟件供應(yīng)鏈安全總結(jié)與展望091附表：軟件供應(yīng)鏈安全風(fēng)險(xiǎn)表093001軟件供應(yīng)鏈安全技術(shù)白皮書習(xí)近平總書記在二十國集團(tuán)領(lǐng)導(dǎo)人第十六次峰會(huì)第一階段會(huì)議發(fā)表的重要講話中強(qiáng)調(diào)：“要維護(hù)產(chǎn)業(yè)鏈供應(yīng)鏈安全穩(wěn)定，暢通世界經(jīng)濟(jì)運(yùn)行脈絡(luò)?！弊鳛槭澜绲诙蠼?jīng)濟(jì)體，我國在世界局勢不斷變化的今天依靠自身供應(yīng)鏈韌性保持了強(qiáng)有力的經(jīng)濟(jì)增長與制造業(yè)產(chǎn)業(yè)轉(zhuǎn)型升級(jí)持續(xù)穩(wěn)步推進(jìn)。信息和通信技術(shù)(InformationandCommunicationsTechnology，簡稱ICT)供應(yīng)商、第三方供應(yīng)商、集成服務(wù)企業(yè)和服務(wù)提缺乏核心技術(shù)使我國網(wǎng)絡(luò)安全與信息化建設(shè)存在巨大的風(fēng)險(xiǎn)與阻礙。尤其在近期俄烏沖突期間，西方社會(huì)對(duì)俄羅斯進(jìn)行了全方位的制裁，同時(shí)將ICT供應(yīng)鏈制裁上升到了戰(zhàn)略層面對(duì)俄是各類關(guān)鍵信息基礎(chǔ)設(shè)施平穩(wěn)運(yùn)行的重要基礎(chǔ)，其關(guān)鍵組件的設(shè)計(jì)、開發(fā)、部署、監(jiān)控和持綠盟科技推出軟件供應(yīng)鏈安全技術(shù)白皮書，旨在從軟件供應(yīng)鏈安全威脅與國內(nèi)外形勢來梳理軟件供應(yīng)鏈中存在的安全問題，提煉出軟件供應(yīng)鏈安全治理的核心理念、技術(shù)框架、關(guān)鍵技術(shù)，并從供應(yīng)鏈安全監(jiān)管和控制方面給出解決方案和最佳實(shí)踐，期望為讀者帶來全新的觀點(diǎn)1：軟件供應(yīng)鏈威脅存在于軟件供應(yīng)鏈的全生命周期中，攻擊的手段和實(shí)施的途徑相較軟件供應(yīng)鏈攻擊已經(jīng)成為重要的突破手段，其中利用開源社區(qū)、公共開源存儲(chǔ)倉庫這類開源軟件生態(tài)入侵事件尤為嚴(yán)重。開源軟件供應(yīng)鏈安全不可忽視，其重要性日觀點(diǎn)2：近年來，政府在供應(yīng)鏈安全領(lǐng)域發(fā)揮著越來越重要的影響，但除積極方面之外，以美國為首的部分發(fā)達(dá)國家政府在其中注入了過多地緣政治因素的考量，甚至將其制定相關(guān)法規(guī)的權(quán)力作為國際競爭的工具，使其風(fēng)險(xiǎn)從通常意義上的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)上升為供應(yīng)鏈斷供風(fēng)險(xiǎn)。另一方面，面對(duì)發(fā)達(dá)國家以法令出臺(tái)、貿(mào)易制裁、技術(shù)出口等手段帶來的供應(yīng)鏈跨境安全管控風(fēng)險(xiǎn)，中國、俄羅斯等國家立足國情，集中優(yōu)勢資源開展核心技術(shù)攻關(guān)，提升自研自制能力，補(bǔ)齊短板、發(fā)展優(yōu)勢能力，加強(qiáng)對(duì)供執(zhí)行摘要002觀點(diǎn)3：為應(yīng)對(duì)軟件供應(yīng)鏈的威脅，上游企業(yè)需要構(gòu)建自身產(chǎn)品的軟件成分清單來梳理軟件軟件成分清單依據(jù)識(shí)別成分的粒度，可以分為不透明、微透明、半透明和透明幾個(gè)階段。透明程度高的軟件成分清單，能顯著提升最終用戶進(jìn)行軟件供應(yīng)鏈安全評(píng)估觀點(diǎn)4：軟件供應(yīng)鏈安全包括整個(gè)軟件的開發(fā)生命周期，在開發(fā)階段漏洞的引入不止在代碼企業(yè)需要建設(shè)開發(fā)過程安全評(píng)估能力。在軟件交付階段，作為供應(yīng)商，除保證交付軟件安全外，也應(yīng)將軟件成分清單一并交付給下游企業(yè)，促使整個(gè)軟件供應(yīng)鏈的上下游都具備依據(jù)安全通報(bào)、威脅情報(bào)監(jiān)控等第三方信息能夠分析、評(píng)估軟件供應(yīng)鏈安全的基本條件。供應(yīng)鏈軟件產(chǎn)品交付運(yùn)行后，供應(yīng)商應(yīng)在產(chǎn)品的生命周期內(nèi)提供安全保障服務(wù)，對(duì)產(chǎn)品漏洞及時(shí)修復(fù)，最終用戶也應(yīng)根據(jù)供應(yīng)商所提供的軟件成分清單納入企業(yè)資產(chǎn)管理范圍，定期對(duì)資產(chǎn)進(jìn)行安全評(píng)估，結(jié)合漏洞預(yù)警，對(duì)受影響觀點(diǎn)5：軟件供應(yīng)鏈風(fēng)險(xiǎn)貫穿了產(chǎn)品的整個(gè)生命周期，結(jié)合近年來所發(fā)生的供應(yīng)鏈攻擊和入侵事件，我們需要從監(jiān)管層面加強(qiáng)供應(yīng)鏈產(chǎn)品安全認(rèn)證管理，提供企業(yè)軟件SBOM托管和可信認(rèn)證服務(wù)，企業(yè)也需要完善供應(yīng)鏈資產(chǎn)管理和安全檢查，可借助SBOM觀點(diǎn)6：軟件供應(yīng)鏈在不斷的技術(shù)迭代與產(chǎn)業(yè)發(fā)展中逐漸形成了包含復(fù)雜技術(shù)體系、多元產(chǎn)品組件及各路開發(fā)者、供應(yīng)者與消費(fèi)者為一體的龐大產(chǎn)業(yè)生態(tài)，大量新技術(shù)的引入令軟件風(fēng)險(xiǎn)防護(hù)范圍從個(gè)體層面提升至供應(yīng)鏈層面，安全視角發(fā)生了重大變化。整個(gè)軟件供應(yīng)鏈缺乏有效的統(tǒng)籌與管理，將安全建設(shè)寄托于技術(shù)人員的自我道德約束無疑是一種“賭博”。我們急需建立供應(yīng)鏈安全管理機(jī)制，杜絕“自我約束”的無監(jiān)管行為。通過政策引導(dǎo)與配套法律建設(shè)保證軟件供應(yīng)鏈安全能夠牢牢的把握在中1004軟件供應(yīng)鏈安全威脅與趨勢1.1軟件供應(yīng)鏈面臨的安全威脅經(jīng)濟(jì)全球化發(fā)展給企業(yè)發(fā)展帶來了更多機(jī)遇和成長，基于價(jià)值鏈的實(shí)現(xiàn)，促進(jìn)了供應(yīng)鏈的全球化，多樣化和復(fù)雜化，同時(shí)如何管理供應(yīng)鏈的問題給企業(yè)帶來了更大的挑戰(zhàn)和威脅。軟件供應(yīng)鏈涉及環(huán)節(jié)復(fù)雜，流程和鏈條長，供應(yīng)商眾多，暴露給攻擊者的攻擊面越來越多，攻擊者利用供應(yīng)鏈環(huán)節(jié)的薄弱點(diǎn)作為攻擊窗口，供應(yīng)鏈的各個(gè)環(huán)節(jié)都有可能成為攻擊者的攻擊入口。既有傳統(tǒng)意義上供應(yīng)商到消費(fèi)者之間供應(yīng)鏈條中信息流的問題，也有系統(tǒng)和業(yè)務(wù)漏從軟件供應(yīng)鏈全生命周期考慮，可以簡單分為上游安全、開發(fā)安全、交付安全、使用安全為實(shí)現(xiàn)業(yè)務(wù)需求的獨(dú)特性，很多公司需要根據(jù)業(yè)務(wù)需求開發(fā)定制化軟件或者使用云服務(wù)產(chǎn)品，可能會(huì)使用軟件供應(yīng)商或者云服務(wù)提供商的產(chǎn)品，那么公司對(duì)于上游企業(yè)面臨的風(fēng)險(xiǎn)是否有考慮到呢？比如采購上游企業(yè)的軟件產(chǎn)品，軟件供應(yīng)商是否能保證對(duì)軟件使用的核心組件可信且組成清晰，在爆發(fā)軟件內(nèi)部漏洞的事情下，具備快速的定位組件風(fēng)險(xiǎn)的能力。軟件在面臨外部攻擊風(fēng)險(xiǎn)時(shí)，是否具備一定的抗攻擊能力，至少不會(huì)漏洞百出。不管是內(nèi)部漏洞還是外部攻擊，軟件供應(yīng)商是否有能力快速定位到漏洞，及時(shí)評(píng)估漏洞、代碼的風(fēng)險(xiǎn)，能提供持續(xù)的更新能力。上游企業(yè)安全評(píng)估能力強(qiáng)，那么將更好的預(yù)防風(fēng)險(xiǎn)發(fā)生，安全評(píng)估能力弱，隨之而來的存在脆弱性風(fēng)險(xiǎn)的可能也將增加。尤其關(guān)鍵數(shù)據(jù)泄露是重中之重，關(guān)注上游軟件評(píng)估中關(guān)鍵數(shù)據(jù)的權(quán)限范圍、證書管理等能力，成為企業(yè)選擇上游企業(yè)的關(guān)鍵因素。當(dāng)然也應(yīng)當(dāng)保證軟件供應(yīng)鏈的持續(xù)性，不能因?yàn)檐浖a(chǎn)品中組件或者環(huán)境因素，影響業(yè)務(wù)，在上游軟件供應(yīng)鏈安全中，另一大安全風(fēng)險(xiǎn)是開源安全。開源軟件的使用，一定程度上推動(dòng)了技術(shù)的發(fā)展，提高了創(chuàng)新的可能性，但是另一方面，國際環(huán)境的復(fù)雜性，開源軟件又具備代碼公開、易獲取和可重用的特點(diǎn)，使開源軟件面臨更大的風(fēng)險(xiǎn)，比如開源組件、框架的漏洞、缺陷逐漸增加，且開源軟件分布在各大社區(qū)，使用范圍略廣，然而漏洞信息卻不能及時(shí)被官方收錄，使得漏洞的跟蹤能力和整改能力降低，上游企業(yè)是否具備管控開源軟件的能力呢？除此之外，開源軟件隱形依賴關(guān)系使不同開源軟件之間存在合規(guī)性和兼容性風(fēng)險(xiǎn)，從而引發(fā)知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)，且隱形依賴關(guān)系增加了漏洞發(fā)現(xiàn)、修復(fù)的難度，為保障開源組件、005軟件供應(yīng)鏈安全技術(shù)白皮書如果沒有提前考慮到采購前的風(fēng)險(xiǎn)點(diǎn)以及應(yīng)對(duì)能力，那么很可能，在爆發(fā)軟件攻擊或者漏洞的情況下，不能快速定位軟件風(fēng)險(xiǎn)點(diǎn)，及時(shí)遏制住風(fēng)險(xiǎn)的擴(kuò)散，快速的更新軟件問題，那么影響的將會(huì)是使用此軟件的所有客戶企業(yè)群體，帶來的更加直觀的損失將會(huì)是小到影響將導(dǎo)致后期安全問題的出現(xiàn)，增加整改的成本和難度。從安全角度考慮軟件開發(fā)階段簡單分在軟件開發(fā)階段，需要借助提前準(zhǔn)備的工具進(jìn)行編程實(shí)現(xiàn)業(yè)務(wù)功能，作為開發(fā)過程的一個(gè)重要環(huán)境，如何選擇開發(fā)工具將尤為重要，一旦開發(fā)工具遭到污染，使用了不安全的開發(fā)工具，那么開發(fā)完成的軟件很大可能性同樣存在安全風(fēng)險(xiǎn)。此外，開發(fā)環(huán)境以及CI/CD集成環(huán)境遭到污染，都有可能導(dǎo)致代碼存在被篡改、惡意植入等風(fēng)險(xiǎn)問題，甚至可能導(dǎo)致整個(gè)編程環(huán)境存在安全風(fēng)險(xiǎn)。即使開發(fā)工具和環(huán)境不存在污染，那么完成開發(fā)部分的源代碼同樣需要確保其托管平臺(tái)和代碼存儲(chǔ)平臺(tái)未受到污染，否則惡意人員很可能通過托管平臺(tái)或者代碼在確保開發(fā)環(huán)境安全的情況下，開發(fā)過程也可能引入安全威脅，開發(fā)者由于工期緊、任務(wù)重等原因，更偏重于功能開發(fā)，不規(guī)范的安全開發(fā)引入不可預(yù)測的安全風(fēng)險(xiǎn)。開發(fā)人員在開發(fā)過程中，不可避免的會(huì)借用網(wǎng)上現(xiàn)成的代碼，既是學(xué)習(xí)成長的過程，也是提高工作效率而不具備識(shí)別和判定代碼安全性問題的能力，就會(huì)在代碼來源的安全性，代碼內(nèi)部邏輯的安全性以及在版本修訂、剪裁和迭代中引入更多安全問題，內(nèi)部漏洞、缺陷也將增加，這種行為會(huì)在后續(xù)軟件實(shí)現(xiàn)中埋下一個(gè)定時(shí)炸彈，同時(shí)在開發(fā)過程中也將涉及到開源組件引入完成開發(fā)后，進(jìn)入編譯構(gòu)建階段，編譯工具的不安全將導(dǎo)致可能植入后門。各大互聯(lián)網(wǎng)公司在企業(yè)內(nèi)部自建包管理工具用于存放自研軟件包，若員工安裝自研軟件包時(shí)沒有制定僅企業(yè)內(nèi)部下載，就可能遭到包搶注攻擊，以及開發(fā)者在使用過程中，生產(chǎn)配置文件引用了官006軟件供應(yīng)鏈安全威脅與趨勢目前很多企業(yè)軟件開發(fā)大多數(shù)采用第三方供應(yīng)商軟件再開發(fā)方式，購買第三方軟件的基礎(chǔ)架構(gòu)，再根據(jù)企業(yè)情況進(jìn)行定制化的開發(fā)調(diào)整。源代碼共享的情況下，源代碼安全成為了雙方共同的安全責(zé)任。但是一般情況下，企業(yè)更加注重本身對(duì)于源代碼的保管安全，考慮到源代碼的訪問安全、物理環(huán)境安全、網(wǎng)絡(luò)安全等因素，并做好充分的保護(hù)措施。但企業(yè)很少會(huì)對(duì)第三方保管的源代碼提出管理要求。而軟件供應(yīng)商相對(duì)注重代碼功能的交付，對(duì)于源代碼的保管安全意識(shí)較為薄弱。比如辦公環(huán)境和源代碼存在于同一區(qū)域，網(wǎng)絡(luò)環(huán)境內(nèi)缺乏安全防護(hù)設(shè)備，未嚴(yán)格限制源代碼的訪問控制等問題普遍存在。不管是監(jiān)管機(jī)構(gòu)還是企業(yè)客戶，交付過程中，除了源代碼安全，也應(yīng)擴(kuò)大交付范圍管控，如果交付的軟件未經(jīng)過編譯或者編譯信息泄露，那么也將導(dǎo)致源代碼不安全性增加，使攻擊者能更輕松的獲取源代碼，通過篡改、植入等技術(shù)手段破壞軟件的安全性，達(dá)到獲利的目的。軟件的正常使用，還涉及到證書、私鑰的管理泄露風(fēng)險(xiǎn)。如果不能確?；A(chǔ)環(huán)境的可信，證書、密鑰的泄露將更加便利完成基礎(chǔ)交付準(zhǔn)備工作，需要將軟件安全以及維護(hù)后續(xù)安全更新途徑傳遞到企業(yè)手中。當(dāng)嚴(yán)重，一旦用戶在這些網(wǎng)站下載安裝軟件就會(huì)“中招”，用戶下載一個(gè)軟件，實(shí)際上明里暗里的卻被安裝了數(shù)個(gè)捆綁軟件，導(dǎo)致電腦運(yùn)行速度明顯下降，電腦安全風(fēng)險(xiǎn)大大增加。另者其他軟件病毒類安全事件，如不能快速發(fā)現(xiàn)、應(yīng)對(duì)和處置，將會(huì)給企業(yè)帶來嚴(yán)重的威脅，甚至帶來財(cái)務(wù)損失。軟件供應(yīng)商是否能及時(shí)配合企業(yè)完成信息安全事件的排查和修復(fù)過程至軟件使用過程中，依賴于網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全或者云平臺(tái)安全，基礎(chǔ)設(shè)施面臨惡意攻擊、自然災(zāi)害破壞引發(fā)的連鎖反應(yīng)可能造成跨部門大面積基礎(chǔ)設(shè)施受損，并引發(fā)服務(wù)中斷，給業(yè)務(wù)正常運(yùn)行帶來威脅。企業(yè)應(yīng)確保網(wǎng)絡(luò)基礎(chǔ)設(shè)施符合國家監(jiān)管政策要求，履行網(wǎng)絡(luò)基礎(chǔ)設(shè)施007軟件供應(yīng)鏈安全技術(shù)白皮書供應(yīng)鏈下游主要為營銷、服務(wù)、品牌等活動(dòng)，供應(yīng)鏈下游的信息將成為上游信息的重要輸入信息，但是供應(yīng)鏈的各階段環(huán)節(jié)由多家供應(yīng)商參與，企業(yè)之間需求信息相對(duì)保守，信息無法實(shí)時(shí)有效的傳遞，而企業(yè)的需求信息決策取決于相關(guān)反饋數(shù)據(jù)輸入，供應(yīng)鏈環(huán)節(jié)越多，在供應(yīng)鏈下游也同樣存在上游的問題，比如下游采用獨(dú)家供應(yīng)商，下游對(duì)接的供應(yīng)商自身管理水平、企業(yè)文化、經(jīng)營模式和財(cái)務(wù)狀況等存在差異性。企業(yè)對(duì)上游和下游的管理同樣1.2軟件供應(yīng)鏈攻擊的發(fā)展趨勢1.2.1軟件供應(yīng)鏈攻擊事件持續(xù)高發(fā)相較于傳統(tǒng)安全威脅，供應(yīng)鏈威脅的影響力具有擴(kuò)散性，上游產(chǎn)品的漏洞會(huì)影響下游所有角色，引起安全風(fēng)險(xiǎn)的連鎖傳遞，導(dǎo)致受攻擊面不斷擴(kuò)大。近年來發(fā)生了多起影響力較大ICD表1.1軟件供應(yīng)鏈攻擊事件司發(fā)起攻擊。研究者認(rèn)為本次攻擊有很強(qiáng)的針對(duì)性，并且依賴難于取得繼百萬周下載量的npm包“node-ipc”以反戰(zhàn)為名進(jìn)行供應(yīng)鏈投毒后，又一位開發(fā)在代碼中加入反戰(zhàn)元素。3月17日，俄羅斯開發(fā)人員ViktorMukhachev在其流行的npm庫“event-source-polyfill”中添加了一段反戰(zhàn)代碼。這段在1.0.26版本中引入的代碼意味著：使用該庫構(gòu)建的應(yīng)用程序，將在啟動(dòng)15秒后向俄羅斯用戶顯示反npm用typosquatting的方式，注冊(cè)一系列包含惡意代碼的重名組node-ipc是使用廣泛的npm開源組件，其作者出于其個(gè)人政治立場在該項(xiàng)目的代碼倉維護(hù)項(xiàng)目不得回報(bào)等原因，刪除所有g(shù)ithub代碼，并向npm倉庫推送包含惡搞功能的更新(打印亂碼)，包括aws-cdk在內(nèi)的眾多應(yīng)用受到影響引發(fā)對(duì)開源生態(tài)，開源項(xiàng)008軟件供應(yīng)鏈安全威脅與趨勢源項(xiàng)目支持屬性查找，并能夠?qū)⒏鞣N屬性替換到日志中。用戶可以通j響范圍極大，同時(shí)隨著供應(yīng)鏈環(huán)節(jié)增多、軟件結(jié)構(gòu)愈加復(fù)雜，上述漏洞也更加難以發(fā)現(xiàn)、修復(fù)(尤其是間接使用到該組件的項(xiàng)目)。目前常見攻擊形式有勒索、挖礦、僵尸網(wǎng)絡(luò)(以及DDOS)。GitHub包地址替換為。網(wǎng)絡(luò)服務(wù)等。攻擊者可利用這些漏洞破壞目標(biāo)設(shè)備并以最高權(quán)限執(zhí)行任PaVSAXSS游影響PHPgitgitphpnet擊，攻擊者冒充兩名維護(hù)人員向服務(wù)HTTP請(qǐng)安全研究人員AlexBirsan通過利用開源生態(tài)安全機(jī)制上的漏洞(即依賴混淆)，成功MimecastMimecast為微軟365用戶Winds下游影響政府證書頒發(fā)機(jī)構(gòu)(VGCA)，并在提供的客戶端應(yīng)用程序中植入后門。WIZVERAVeraPort是一款韓國集成安裝工具，幫助用戶在訪問政府、銀行網(wǎng)站時(shí)管理所需安全軟件。該軟件在使用中僅驗(yàn)證下載的二進(jìn)制文件數(shù)字簽名是否有效，卻不利用盜取的數(shù)字證書對(duì)惡意軟件進(jìn)行簽名并替換，使得用戶下載到惡意軟件。應(yīng)發(fā)給全球的華碩設(shè)備。該軟件使用合法的華碩證書簽名，存儲(chǔ)在意軟件。009軟件供應(yīng)鏈安全技術(shù)白皮書1.2.2軟件供應(yīng)鏈攻擊技術(shù)復(fù)雜多樣別于孤立產(chǎn)品的安全漏洞利用，現(xiàn)實(shí)環(huán)境中的供應(yīng)鏈攻擊手法更加多樣，實(shí)施途徑更由于開發(fā)成本的優(yōu)勢，在項(xiàng)目中廣泛使用開源組件已成為主流的開發(fā)方式。低門檻的開放社區(qū)與有限的維護(hù)資源的矛盾，給攻擊者提供了可乘之機(jī)。在開源代碼中插入惡意代碼是造成影響最為直接的攻擊形式，但常規(guī)的惡意代碼插入手段會(huì)受到人工代碼審核等方式的遏制。攻擊者開始另辟蹊徑，尋求人工代碼審查存在的脆弱性。劍橋大學(xué)的研究員提出了一種別的惡意隱藏代碼，達(dá)到逃逸人工審查的效果。除此之外，明尼蘇達(dá)大學(xué)的研究者提出向開源項(xiàng)目提交隱藏漏洞的攻擊方式，并實(shí)踐于Linux內(nèi)核項(xiàng)目[2]。雖然這種做法因開源社區(qū)的公共代碼存儲(chǔ)倉庫是開源軟件代碼的載體，企業(yè)在產(chǎn)品的開發(fā)構(gòu)建過程從中拉取第三方依賴。但有效的安全控制與自動(dòng)化的反制措施的缺失，會(huì)使公開代碼倉庫成為惡意代碼的潛在傳播平臺(tái)。2021年初，安全研究員AlexBirsan提出名為依賴混淆(DependencyConfusion)的新供應(yīng)鏈攻擊方式[3]。攻擊者在公開存儲(chǔ)庫中創(chuàng)建私有依賴項(xiàng)的更高版本的同名項(xiàng)目，使得惡意代碼在構(gòu)建的過程中被拉取。該技術(shù)巧妙的利用了主流包管理器存在的設(shè)動(dòng)化流水工具成為現(xiàn)代產(chǎn)品軟件開發(fā)的選擇。CI/CD平臺(tái)作為DevOps理念的落地實(shí)踐，起著保證持續(xù)集成和持續(xù)部署的關(guān)鍵作用，瞄準(zhǔn)此類平臺(tái)的攻擊事件也逐漸涌現(xiàn)。在2020年末的SolarWinds供應(yīng)鏈攻擊事件中攻擊者在IT管理軟件的代碼倉庫中插入惡意代碼，編譯ocker[1]Boucher,N.andR.Anderson,TrojanSource:InvisibleVulnerabilities.arXivpreprintarXiv:2111.00169,2021.[2]OpenSourceInsecurity:TheSilentIntroductionofWeaknessesthroughtheHypocriteCommit[3]/@alex.birsan/dependency-confusion-4a5d60fec610[4]/research/top-10-web-hacking-techniques-of-2021[5]/what-you-need-to-know-about-the-codecov-incident-a-supply-chain-attack-gone-undetected-for-2-months2011軟件供應(yīng)鏈安全技術(shù)白皮書2.1國內(nèi)外供應(yīng)鏈安全政策與發(fā)展2.1.1美國2002年，美國布什政府提出強(qiáng)調(diào)關(guān)注ICT供應(yīng)鏈安全問題的信息安全戰(zhàn)略，美國將ICT2008年，美國布什政府發(fā)布的54號(hào)國家安全總統(tǒng)令(NSPD54)提出國家網(wǎng)絡(luò)安全綜合計(jì)劃(CNCI)，其部署的一項(xiàng)重要工作就是建立全方位的措施來實(shí)施全球供應(yīng)鏈風(fēng)險(xiǎn)管理。為落實(shí)該計(jì)劃對(duì)ICT供應(yīng)鏈安全問題的部署，2008年美國國家標(biāo)準(zhǔn)和技術(shù)研究院(NIST)啟動(dòng)了ICT供應(yīng)鏈風(fēng)險(xiǎn)管理項(xiàng)目(SCRM)，在原《信息保障技術(shù)框架》(IATF)提出的“縱深防御”戰(zhàn)略的基礎(chǔ)上，提出了“廣度防御”的戰(zhàn)略，開發(fā)全生命周期的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)。是產(chǎn)品在運(yùn)行中的安全，因而不能解決供應(yīng)鏈安全問題，而“廣度防御”戰(zhàn)略的核心是在系統(tǒng)的完整生命周期內(nèi)減少風(fēng)險(xiǎn)，這一認(rèn)識(shí)的變化也奠定了當(dāng)前ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理方法2009年，美國奧巴馬政府在《網(wǎng)絡(luò)空間安全政策評(píng)估報(bào)告》中指出，應(yīng)對(duì)供應(yīng)鏈風(fēng)險(xiǎn)除2011年，美國奧巴馬政府發(fā)布的《網(wǎng)絡(luò)空間國際戰(zhàn)略》中將“與工業(yè)部門磋商，加強(qiáng)高2014年，美國國會(huì)提議了《網(wǎng)絡(luò)供應(yīng)鏈管理和透明度法案》，意在確保為美國政府開發(fā)或購買的使用第三方或開源組件以及用于其他目的的任何軟件、固件或產(chǎn)品的完整性。該法案要求制作物料清單(BOM)由“為美國政府開發(fā)或購買的軟件、固件或產(chǎn)品的所有供應(yīng)商”提供的所有第三方和開源組件。法案中的措辭承認(rèn)開源是一種關(guān)鍵資源，并清楚地表示其在府IT運(yùn)營中持續(xù)發(fā)揮著關(guān)鍵作用。該法案是建立透明度的積極的第一步，這是一個(gè)非常有安全法案2018》創(chuàng)建了一個(gè)新的聯(lián)邦采購供應(yīng)鏈安全理事會(huì)并授予其廣泛權(quán)利，為聯(lián)邦供應(yīng)鏈安全制定規(guī)則，以增強(qiáng)聯(lián)邦采購和采012供應(yīng)鏈安全國內(nèi)外形勢署了名為《確保信息和通信技術(shù)及服務(wù)供應(yīng)鏈安全》的行政令，宣布美國進(jìn)入受信息威脅的國家緊急狀態(tài)，禁止美國個(gè)人和各類實(shí)體購買和使用被的相關(guān)要求，建立審查外國對(duì)手的ICT服務(wù)的交易流程和程序，禁止任何受美國管轄的人獲取、進(jìn)口、轉(zhuǎn)讓、安裝、買賣或使用可能對(duì)美國國家安全、外交政策和經(jīng)濟(jì)構(gòu)成威脅的外國2.1.2歐盟2012年，歐盟網(wǎng)絡(luò)和信息安全局(ENISA)發(fā)布了《供應(yīng)鏈完整性—ICT供應(yīng)鏈風(fēng)險(xiǎn)和挑戰(zhàn)概覽，以及未來的愿景》報(bào)告，并于2015年更新。除了提供可供ICT供應(yīng)鏈相關(guān)參2016年上半年，歐洲標(biāo)準(zhǔn)化委員會(huì)(CEN)、歐洲電工委員會(huì)(CENELEC)與歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)(ETSI)對(duì)歐洲ICT產(chǎn)品和服務(wù)的政府采購所適用的可接入性提出了新的標(biāo)準(zhǔn)，即通信技術(shù)產(chǎn)品和服務(wù)政府采購所適用的可接入性規(guī)定(EN301549)。該標(biāo)準(zhǔn)是歐洲首次對(duì)通信技術(shù)產(chǎn)品和服務(wù)的政府采購所適用的可接入性標(biāo)準(zhǔn)，并以法規(guī)的形式加以強(qiáng)調(diào)。該標(biāo)準(zhǔn)電子設(shè)備與其他產(chǎn)品具有更好的可接入性，即：上述產(chǎn)品與服務(wù)的采購要本著讓更多人使用委員會(huì)主席Jean-ClaudeJuncker在其盟情咨文中提出了《歐盟網(wǎng)絡(luò)2019年4月，歐盟《外國直接投資審查條例》生效。該條例指出，歐盟有權(quán)對(duì)參與5G網(wǎng)絡(luò)等關(guān)鍵基礎(chǔ)設(shè)施投資的外商進(jìn)行審查和定期監(jiān)控，以保障5G網(wǎng)絡(luò)等關(guān)鍵基礎(chǔ)設(shè)施的安全性，同時(shí)避免關(guān)鍵資產(chǎn)對(duì)外商的過度依賴。這也是歐盟保障5G供應(yīng)鏈安全的有2021年7月，歐盟網(wǎng)絡(luò)和信息安全局(ENISA)發(fā)布了《供應(yīng)鏈攻擊威脅全景圖》，該報(bào)告旨在描繪并研究從2020年1月至2021年7月初發(fā)現(xiàn)的供應(yīng)鏈攻擊活動(dòng)。該報(bào)告通過分類系統(tǒng)對(duì)供應(yīng)鏈攻擊進(jìn)行分類，以系統(tǒng)化方式更好地進(jìn)行分析，并說明了各類攻擊的展現(xiàn)013軟件供應(yīng)鏈安全技術(shù)白皮書方式。報(bào)告指出，組織機(jī)構(gòu)更新網(wǎng)絡(luò)安全方法時(shí)應(yīng)重點(diǎn)關(guān)注供應(yīng)鏈攻擊，并將供應(yīng)商納入防2.1.3英國2013年，英國可信軟件倡議(TrustworthySoftwareInitiative，TSI)通過解決軟件可信性中的安全性、可靠性、可用性、彈性和安全性問題，提升軟件應(yīng)用的規(guī)范、實(shí)施和使用水平，在ICT供應(yīng)鏈的軟件領(lǐng)域建立起基于風(fēng)險(xiǎn)的全生命周期管理。由TSI發(fā)布的可信軟S2014)發(fā)布。該規(guī)范在英國軟件工程上具有里程碑的意義，涵蓋了技術(shù)、物理環(huán)境、行為管經(jīng)濟(jì)和社會(huì)發(fā)展中的作用，強(qiáng)調(diào)了安全在電信這一關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的重要意義，并為電信日本在2018年版的《網(wǎng)絡(luò)安全戰(zhàn)略》中，強(qiáng)調(diào)了“加強(qiáng)組織的能力”，呼吁供應(yīng)鏈各相關(guān)方積極協(xié)作，通過組織間多樣化的連接，創(chuàng)造有價(jià)值的供應(yīng)鏈。其具體舉措一是明確供應(yīng)鏈中存在的威脅，制定并推廣相關(guān)保護(hù)框架；二是充分調(diào)動(dòng)中小企業(yè)的積極性，推動(dòng)其創(chuàng)新。的首批適用對(duì)象。新法要求日本相關(guān)企業(yè)在采購高級(jí)科技產(chǎn)品及精密器材時(shí)，必須遵守三個(gè)安全準(zhǔn)則：第一，確保系統(tǒng)的安全與可信度；第二，確保系統(tǒng)供貨安全；第三，系統(tǒng)要能夠與國際接軌。這套準(zhǔn)則標(biāo)明了日本企業(yè)應(yīng)考慮使用的日本或歐美的相關(guān)產(chǎn)品。同時(shí)，日本政并要徹底防止使用有中國科技產(chǎn)品的其他國家數(shù)據(jù)庫。同時(shí)，政府將通過稅制優(yōu)惠措施在內(nèi)014供應(yīng)鏈安全國內(nèi)外形勢2.1.5俄羅斯而為了解決這些問題當(dāng)務(wù)之急是要“盡快實(shí)現(xiàn)創(chuàng)新成果的應(yīng)用”。為此，近年來，俄羅斯加大了對(duì)進(jìn)口信息設(shè)備使用的管理和控制。普京曾公開要求俄羅斯僅有的三家具有部分政府管理職能的國家公司之一的俄羅斯技術(shù)公司使用國產(chǎn)軟件產(chǎn)品，并稱如果該公司不使用國產(chǎn)軟始在俄羅斯軍方作戰(zhàn)指揮系統(tǒng)終端中廣泛應(yīng)用。2018年國防部還啟動(dòng)了所有計(jì)算機(jī)全部換裝國產(chǎn)操作系統(tǒng)的工作。不僅如此，為確保重要部門之間能夠?qū)崿F(xiàn)安全的互。總的來說，俄羅斯密集出臺(tái)了一系列旨在推進(jìn)俄制產(chǎn)品應(yīng)用的政策措施，以期從源頭上杜絕因使用不安全、留有后門的信息產(chǎn)品所帶來的安全隱患，希望通過加大本國產(chǎn)品應(yīng)用拉此外，在跨國合作上，中、俄等國在2011年和2015年兩度向聯(lián)合國提交的《信息安全國際行為準(zhǔn)則》中，也就確保ICT供應(yīng)鏈安全提出了具體倡議，強(qiáng)調(diào)應(yīng)“努力確保信息技術(shù)產(chǎn)品和服務(wù)供應(yīng)鏈的安全，防止他國利用自身資源、關(guān)鍵設(shè)施、核心技術(shù)、信息通訊技術(shù)產(chǎn)品和服務(wù)、信息通訊網(wǎng)絡(luò)及其他優(yōu)勢，削弱接受上述行為準(zhǔn)則國家對(duì)信息通訊技術(shù)產(chǎn)品和服2.1.6中國2014年5月22日，國家互聯(lián)網(wǎng)信息辦公室宣布我國即將推出網(wǎng)絡(luò)安全審查制度，初步015軟件供應(yīng)鏈安全技術(shù)白皮書2017年6月，我國頒布《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審辦法(試行)》和《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)月，我國多部門聯(lián)合發(fā)布《網(wǎng)絡(luò)安全審査辦法》，進(jìn)一步細(xì)化明確了網(wǎng)絡(luò)安全過《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，在該條例2021年11月，國家互聯(lián)網(wǎng)信息辦公室通過《網(wǎng)絡(luò)安全審查辦法》，該辦法將網(wǎng)絡(luò)平臺(tái)運(yùn)營者開展數(shù)據(jù)處理活動(dòng)影響或者可能影響國家安全等情形納入網(wǎng)絡(luò)安全審查，并明確掌握超過100萬用戶個(gè)人信息的網(wǎng)絡(luò)平臺(tái)運(yùn)營者赴國外上市必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)2.1.7總結(jié)近年來，政府在供應(yīng)鏈安全領(lǐng)域發(fā)揮著越來越重要的影響，但除積極方面之外，以美國為首的部分發(fā)達(dá)國家政府在其中注入了過多地緣政治因素的考量，甚至將其制定相關(guān)法規(guī)的權(quán)力作為國際競爭的工具，任由敵視、焦慮情緒主導(dǎo)，人為割裂了原本可以互聯(lián)、互通、互面對(duì)發(fā)達(dá)國家以法令出臺(tái)、貿(mào)易制裁、技術(shù)出口等手段帶來的供應(yīng)鏈跨境安全管控風(fēng)險(xiǎn)，中發(fā)展優(yōu)勢能力，加強(qiáng)對(duì)供應(yīng)鏈產(chǎn)品和服務(wù)的安全審查，逐步建立和完善供應(yīng)鏈安全風(fēng)險(xiǎn)管理2.2國內(nèi)外供應(yīng)鏈安全標(biāo)準(zhǔn)與實(shí)踐2.2.1國際標(biāo)準(zhǔn)供應(yīng)鏈安全的標(biāo)準(zhǔn)化工作經(jīng)歷了由傳統(tǒng)供應(yīng)鏈安全向ICT供應(yīng)鏈安全的演變，主要標(biāo)準(zhǔn)ISO28000系列標(biāo)準(zhǔn)ISO包含：《ISO28000：2007供應(yīng)鏈016供應(yīng)鏈安全國內(nèi)外形勢系列標(biāo)準(zhǔn)幫助組織建立、推進(jìn)、維護(hù)并提高供應(yīng)鏈的安全管理系統(tǒng)，明確組織需建立最低安全標(biāo)準(zhǔn)，并確保和規(guī)定安全管理政策的一致性；建議組織通過第三方認(rèn)證機(jī)構(gòu)對(duì)安全管理系統(tǒng)進(jìn)行認(rèn)證或登記，并對(duì)供應(yīng)鏈中彈性管理系統(tǒng)提出更明確的要求。ISO28000系列標(biāo)準(zhǔn)對(duì)ISO27036系列標(biāo)準(zhǔn)ISOIEC術(shù)安全技術(shù)供應(yīng)鏈關(guān)系信息安全(1-概述和大綱2-要求3-ICT供OIEC實(shí)施、操作、監(jiān)控、評(píng)審、保持和改進(jìn)供應(yīng)商關(guān)系管理規(guī)定了通用性的信息安全要求，這些要求覆蓋了產(chǎn)品和服務(wù)的采購、供應(yīng)的所有情況，例如制造業(yè)或裝配業(yè)、業(yè)務(wù)過程采購、知27036-3ICT供應(yīng)鏈安全管理指南》專門針對(duì)ICT供應(yīng)鏈安全提出提出查詢和管理地理分散的ICT供應(yīng)鏈安全風(fēng)險(xiǎn)控制要求，并將信息安全過程和實(shí)踐整合到系統(tǒng)和軟件的生命周期過全指南》專門針對(duì)云計(jì)算服務(wù)安全提出要求，在云服務(wù)使用和安全風(fēng)險(xiǎn)管理過程中提供量化指標(biāo)，同時(shí)針對(duì)云服務(wù)獲取、提供過程中對(duì)組織產(chǎn)生的信息安全應(yīng)用風(fēng)險(xiǎn)隱患，提供應(yīng)對(duì)指ISO/IEC20243開放可信技術(shù)供應(yīng)商標(biāo)準(zhǔn)—減少被惡意污染和偽冒的產(chǎn)品的最佳實(shí)踐和技術(shù)要求，是針對(duì)COTSICT軟硬件產(chǎn)品供應(yīng)商在技術(shù)研發(fā)及供應(yīng)鏈過程安全2.2.2美國標(biāo)準(zhǔn)ntPracticesforFederalInformationSystemsandOrganizations(聯(lián)邦信息系統(tǒng)和組織的供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐)》(以下簡稱NISTSP800-161)和NISTIR7622《NationalSupplyChainRisk-ManagementPracticesforFederalInformationSystems(聯(lián)邦信息系統(tǒng)供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐理論)》(以下簡稱NISTIR7622)這兩個(gè)影響力較大的標(biāo)準(zhǔn)。017軟件供應(yīng)鏈安全技術(shù)白皮書NISTSP800-161STSP風(fēng)險(xiǎn)》中提出的多層次風(fēng)險(xiǎn)管理方法，分別從組織層、業(yè)務(wù)層以及系統(tǒng)層三個(gè)層面和構(gòu)建風(fēng)NISTIR7622該標(biāo)準(zhǔn)給出了供應(yīng)鏈風(fēng)險(xiǎn)管理的實(shí)施流程。對(duì)于高影響系統(tǒng)，ICT供應(yīng)鏈風(fēng)險(xiǎn)管理被明確嵌入到采購進(jìn)程中來分析潛在的供應(yīng)鏈風(fēng)險(xiǎn)，實(shí)施額外的安全控制以及供應(yīng)鏈風(fēng)險(xiǎn)管理的實(shí)踐；對(duì)中度影響的系統(tǒng)，授權(quán)機(jī)構(gòu)應(yīng)該做出是否實(shí)施ICT供應(yīng)鏈風(fēng)險(xiǎn)管理的決策；低影響2.2.3我國標(biāo)準(zhǔn)GB/T36637-2018信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南在未來7年內(nèi)禁止中興通訊向美國企業(yè)購買敏感產(chǎn)品，引起社會(huì)廣泛關(guān)注。該事件反映出我國在某些關(guān)鍵核心部件的研發(fā)、生產(chǎn)、采購等環(huán)節(jié)存在的供應(yīng)鏈安全風(fēng)險(xiǎn)，同時(shí)凸顯出加強(qiáng)我國ICT供應(yīng)鏈安全研究、評(píng)估和監(jiān)管GB/T36637-2018《信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》，采用風(fēng)險(xiǎn)評(píng)估的思路，從產(chǎn)品全生命周期的角度，針對(duì)設(shè)計(jì)、研發(fā)、采購、生產(chǎn)、倉儲(chǔ)、運(yùn)輸/物流、銷售、維護(hù)、銷毀等各環(huán)節(jié)，開展風(fēng)險(xiǎn)GB/T24420-2009供應(yīng)鏈風(fēng)險(xiǎn)管理指南該標(biāo)準(zhǔn)主要針對(duì)傳統(tǒng)供應(yīng)鏈風(fēng)險(xiǎn)管理，在《GB/T24353-2009風(fēng)險(xiǎn)管理原則與實(shí)施指南》的指導(dǎo)下，參考國際航空航天質(zhì)量標(biāo)準(zhǔn)(IAQS)9134、美國機(jī)動(dòng)車工程師協(xié)會(huì)標(biāo)準(zhǔn)SAEARPAECMAEN指南》等編制而成，給出了供應(yīng)鏈風(fēng)險(xiǎn)管理的通用指南，包括供應(yīng)鏈風(fēng)險(xiǎn)管理的步驟，以及識(shí)別、分析、評(píng)價(jià)和的采購。GB/T32921-2016信息技術(shù)產(chǎn)品供應(yīng)方行為安全準(zhǔn)則為貫徹落實(shí)《全國人民代表大會(huì)常務(wù)理事會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》的精神，加強(qiáng)信息技術(shù)產(chǎn)品用戶相關(guān)信息維護(hù)，該標(biāo)準(zhǔn)規(guī)定了信息技術(shù)產(chǎn)品供應(yīng)方在相關(guān)業(yè)務(wù)活動(dòng)中應(yīng)供應(yīng)鏈安全國內(nèi)外形勢遵循的基本安全準(zhǔn)則，主要包括收集和處理用戶相關(guān)信息的安全準(zhǔn)則、遠(yuǎn)程控制用戶產(chǎn)品的其他標(biāo)準(zhǔn)●GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求●GB/T32926-2016信息安全技術(shù)政府部門信息技術(shù)服務(wù)外包信息安全管理規(guī)范GBT1168-2014《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》0183020軟件供應(yīng)鏈安全技術(shù)框架3.1軟件供應(yīng)鏈安全軟件供應(yīng)鏈安全覆蓋整個(gè)軟件生命周期過程，單從軟件產(chǎn)品的復(fù)雜性來說，除了保障軟件項(xiàng)目自身的安全之外，還包括每個(gè)項(xiàng)目的依賴關(guān)系與可傳遞依賴關(guān)系，以及這些關(guān)系鏈所組成的軟件生態(tài)系統(tǒng)的安全。尤其在開源安全問題上，由于間接依賴關(guān)系的傳遞帶來隱性漏洞包含問題，使用免責(zé)條款替代合同約束帶來的信任風(fēng)險(xiǎn)與法律風(fēng)險(xiǎn)，都更顯著，也是近幾表3.1企業(yè)軟件供應(yīng)鏈安全需求供應(yīng)鏈的需求獲得可選范圍內(nèi)軟件成分或開源組件已知的安全問題(如已知漏洞)，危險(xiǎn)程度。評(píng)估法律風(fēng)險(xiǎn)(知識(shí)產(chǎn)權(quán)、許可證范圍、免責(zé)條款)、商務(wù)風(fēng)險(xiǎn)?！瓏H軟件公司要求提供SBOM[6](國際標(biāo)準(zhǔn)格式，軟件成分清單)。……需要通過技術(shù)手段和管理手段來保障企業(yè)自身的安全和軟件產(chǎn)品的安全，需要行業(yè)內(nèi)形成可軟件供應(yīng)鏈安全技術(shù)白皮書021以相互信任的機(jī)制，向最終用戶提供軟件供應(yīng)鏈安全的體系化評(píng)估方案。下面我們將基于這3.2軟件供應(yīng)鏈安全理念明程度企業(yè)要管理軟件供應(yīng)鏈，首先要有一種統(tǒng)一的描述方法，能清晰的傳遞上下游間的軟件信息，向最終用戶展示軟件供應(yīng)鏈的組成成分的情況。這種軟件供應(yīng)鏈描述方法，與軟件資產(chǎn)管理中定義的軟件標(biāo)識(shí)相比，要深入軟件產(chǎn)品的組成結(jié)構(gòu)，力求從安全視角能足夠充分的小要素”及“軟件物料清單”(SBOM)的要求規(guī)范。目前，美國的政府單位，如NIST、CISA都將SBOM確定為推動(dòng)軟件供應(yīng)鏈風(fēng)險(xiǎn)管理的優(yōu)先事項(xiàng)，并在多項(xiàng)政策、標(biāo)準(zhǔn)中將其程中是對(duì)應(yīng)具體的代碼文件，還是功能模塊。當(dāng)粒度過細(xì)的時(shí)候，很多企業(yè)也擔(dān)心過度暴露考慮企業(yè)可實(shí)際落地情況，我們將軟件“最小要素”分為不同粒度的“軟件成分”，并源件，組，直接出的開組件，組，直接依含必要組件擴(kuò)展信息完整(如：核識(shí)產(chǎn)權(quán)信息、關(guān)聯(lián)漏洞信息)。出的開組件，組，直接依擴(kuò)展信息包括組成軟件的所有組件名稱、組件的信息、組件之間的關(guān)系以及層級(jí)關(guān)系。每一個(gè)軟件，都對(duì)應(yīng)一個(gè)組成成分表，通過標(biāo)準(zhǔn)的數(shù)據(jù)格式存儲(chǔ)、記錄構(gòu)成的基礎(chǔ)信息，并根據(jù)這些存儲(chǔ)022軟件供應(yīng)鏈安全技術(shù)框架表3.2軟件成分信息實(shí)體名稱體名稱于標(biāo)識(shí)軟件修改的版本標(biāo)識(shí)符版權(quán)與開放標(biāo)準(zhǔn)、第三方授權(quán)信息等生成的日期和時(shí)間軟件信息簽名(如校驗(yàn)哈希值)信息真實(shí)性、完整性或在軟件成分清單數(shù)據(jù)庫中查找的唯一標(biāo)識(shí)符進(jìn)制的包含關(guān)系，發(fā)布容器鏡像與二進(jìn)制的包含關(guān)賴、包依賴、編譯依賴、運(yùn)行時(shí)依賴等息版權(quán)與開放標(biāo)準(zhǔn)、第三方授權(quán)信息等能力為應(yīng)對(duì)供應(yīng)鏈的威脅，保障自身的IT基礎(chǔ)設(shè)施安全，企業(yè)需要構(gòu)建軟件成分清單來梳理供應(yīng)鏈產(chǎn)品，識(shí)別和管理關(guān)鍵軟件供應(yīng)商，在供應(yīng)鏈的生命周期的各階段通過安全評(píng)估控制在軟件的開發(fā)生命周期中，漏洞的引入不止有開發(fā)人員編寫的源代碼，還有所依賴的開源組件、開發(fā)和構(gòu)建工具等，依照軟件的開發(fā)和構(gòu)建過程，企業(yè)需要從如下方面建設(shè)開發(fā)過●開源組件引入安全管控023軟件供應(yīng)鏈安全技術(shù)白皮書功能組件等，在系統(tǒng)開發(fā)過程中，應(yīng)嚴(yán)格控制引入的開源組件風(fēng)險(xiǎn)，將已知漏洞摒除于軟件開源組件安全評(píng)估能力由軟件成分分析(SCA)提供，在代碼構(gòu)建時(shí)，通過SCA工具對(duì)●源代碼漏洞管控為降低開發(fā)過程中源代碼漏洞的產(chǎn)生，提升源代碼安全質(zhì)量，可使用SAST(StaticApplicationSecurityTesting，通常指靜態(tài)源代碼安全審計(jì)工具)在開發(fā)IDE工具和持續(xù)集成通常指交互式安全測試工具)在系統(tǒng)運(yùn)行時(shí)通過污點(diǎn)分析檢出源代碼漏洞。軟件交付是開發(fā)商將成品完成封裝，交付給下游用戶，也是下游企業(yè)引入供應(yīng)鏈產(chǎn)品的起始點(diǎn)，作為供應(yīng)商，除保證交付軟件安全外，也應(yīng)將軟件成分清單一并交付給下游企業(yè)；供應(yīng)鏈下游企業(yè)在獲得供應(yīng)商的軟件組件成分清單后，也可同步向其下游企業(yè)、最終用戶提供自己維護(hù)的軟件組件成分表，那么最終用戶就已經(jīng)具備了依據(jù)安全通報(bào)、威脅情報(bào)監(jiān)控等024軟件供應(yīng)鏈安全技術(shù)框架供應(yīng)鏈軟件產(chǎn)品交付運(yùn)行后，供應(yīng)商應(yīng)在產(chǎn)品的生命周期內(nèi)提供安全保障服務(wù)，對(duì)產(chǎn)品應(yīng)商所提供的SBOM將供應(yīng)鏈產(chǎn)品納入企業(yè)資產(chǎn)管理，在實(shí)現(xiàn)技術(shù)上，對(duì)軟件供應(yīng)鏈組成的可評(píng)估能力與企業(yè)內(nèi)部進(jìn)行的安全開發(fā)治理有很多相同之處。需要指出的是，軟件供應(yīng)鏈安全更關(guān)注整個(gè)軟件生命周期中每個(gè)迭代或每個(gè)構(gòu)建軟件供應(yīng)鏈安全的復(fù)雜性之一在于多級(jí)上下游安全問題的堆疊，很難依靠企業(yè)自身力量完成整個(gè)鏈條的安全評(píng)估與把控，需要從監(jiān)管層面加強(qiáng)供應(yīng)鏈產(chǎn)品安全認(rèn)證管理，提供企業(yè)1.向軟件行業(yè)提供開放的、可信任的軟件供應(yīng)鏈關(guān)鍵數(shù)據(jù)(如軟件成分信息、組件情報(bào)信息)管理機(jī)制。軟件產(chǎn)品最終用戶的軟件供應(yīng)鏈安全依賴與上下游企業(yè)與這個(gè)產(chǎn)品相關(guān)的組件信息的集合，透明程度高的軟件成分信息對(duì)軟件供應(yīng)鏈治理至關(guān)重要，但是對(duì)軟件企業(yè)來說增加了產(chǎn)品管理成本和安全風(fēng)險(xiǎn)。需要制定一套可信任的機(jī)制，既能鼓勵(lì)軟件企業(yè)參與軟件供應(yīng)鏈治理的積極性，又要保證軟件供應(yīng)鏈基礎(chǔ)信息的高質(zhì)量，向最終用戶提供可信任的軟件供應(yīng)鏈企業(yè)需要監(jiān)控軟件產(chǎn)品及依賴的上游組件中是否存在高危組件，下游交付環(huán)節(jié)中使用軟建立開源軟件資產(chǎn)臺(tái)賬，持續(xù)監(jiān)測和降低所使用開源軟件的安全風(fēng)險(xiǎn)。但實(shí)際上，企業(yè)很難網(wǎng)絡(luò)基礎(chǔ)設(shè)施、高風(fēng)險(xiǎn)開源軟件進(jìn)行監(jiān)控，通過如黑白灰名單等機(jī)制提供給軟件企業(yè)和軟件鏈安全度量標(biāo)準(zhǔn)與認(rèn)證體系可信任的軟件供應(yīng)商，應(yīng)從可信需求分析與設(shè)計(jì)、可信開發(fā)、可信測試、可信交付、生命周期管理、開源及第三方管理、配置管理等不同維度進(jìn)行評(píng)估。評(píng)估符合要求的企業(yè)應(yīng)具025軟件供應(yīng)鏈安全技術(shù)白皮書企業(yè)也需要完善供應(yīng)鏈資產(chǎn)管理和安全檢查，可借助知識(shí)圖譜技術(shù)理清企業(yè)供應(yīng)鏈依賴軟件供應(yīng)鏈透明程度、軟件供應(yīng)鏈安全可評(píng)估能力、可信軟件供應(yīng)鏈的三個(gè)理念，與最按：上下游企業(yè)能向最終用戶提供微透明程度的軟件供應(yīng)鏈成分信息查詢能力。最終用戶通過第三方威脅情報(bào)監(jiān)控，或主管部門發(fā)布的安全通告，能獲得受影響組件信息。通過查詢、比對(duì)軟件成分清單內(nèi)的名稱與版本信息，可以快速比對(duì)是否存在已知漏洞等安全問題?？紤]評(píng)估透明程度高的軟件成分清單(半透明程度及以上)，能顯著提升最終用戶進(jìn)行軟件供應(yīng)鏈安全評(píng)估的準(zhǔn)確性。對(duì)企業(yè)開展業(yè)務(wù)來說，知識(shí)產(chǎn)權(quán)等法律風(fēng)險(xiǎn)評(píng)估是必不可少。尤其對(duì)于開展國際業(yè)務(wù)的用戶來說，項(xiàng)目使用的開源項(xiàng)目及第三方組件是否遵循許可證要求，合法地進(jìn)行軟件修改與重用，都存在著潛在法律風(fēng)險(xiǎn)。建立政府統(tǒng)一管理的情報(bào)庫實(shí)現(xiàn)軟件供應(yīng)完整的供應(yīng)鏈覆蓋了從開發(fā)設(shè)計(jì)到交付實(shí)施再到用戶使用的各個(gè)環(huán)節(jié)，牽扯到最終用戶和各級(jí)供應(yīng)商，每個(gè)環(huán)節(jié)都有可能成為網(wǎng)絡(luò)攻擊的突破口，企業(yè)在引入供應(yīng)鏈軟件產(chǎn)品時(shí)需；軟件漏洞評(píng)估：根據(jù)供應(yīng)商所提供的產(chǎn)品安全評(píng)估報(bào)告，包括但不限于SAST、SCA、軟件的供應(yīng)鏈安全性企業(yè)管控開源安全，既包括直接依賴組件的漏洞，也包括間接依賴組件漏洞。隨著軟件026軟件供應(yīng)鏈安全技術(shù)框架系統(tǒng)架構(gòu)愈加復(fù)雜，所關(guān)聯(lián)的開源組件之間的依賴關(guān)系也愈加復(fù)雜，一些多級(jí)依賴的組件漏開源軟件生態(tài)當(dāng)前已經(jīng)豐富繁雜，監(jiān)管層應(yīng)針對(duì)開源軟件進(jìn)行風(fēng)險(xiǎn)監(jiān)測與監(jiān)控。安全是SCA軟件資產(chǎn)安全管理。其曝出漏洞或者發(fā)布補(bǔ)丁時(shí)，一方面使用評(píng)估檢查工具對(duì)資產(chǎn)進(jìn)行漏洞影響。被檢測對(duì)象首先需依據(jù)檢測機(jī)構(gòu)提供的可信安全廠商獲取安全檢測服務(wù)及工具，保證工具及來源的安全合規(guī)。對(duì)自身軟件資產(chǎn)進(jìn)行審計(jì)，輸出標(biāo)準(zhǔn)化清單：軟件成分、代碼審計(jì)、供應(yīng)商資質(zhì)等標(biāo)準(zhǔn)化清單。將清單提供給安全管理機(jī)構(gòu)進(jìn)行備案，以備審查。當(dāng)安全主管機(jī)我們需要?jiǎng)?chuàng)新協(xié)同，積極引入可信計(jì)算、多方安全計(jì)算、區(qū)塊鏈等技術(shù)，創(chuàng)新安全產(chǎn)品體系架構(gòu)，不斷提升產(chǎn)品自身安全性；以產(chǎn)品全生命周期安全保障為目標(biāo)，從部件供應(yīng)商、產(chǎn)品研發(fā)、產(chǎn)品測試、產(chǎn)品生產(chǎn)、儲(chǔ)運(yùn)銷售、產(chǎn)品運(yùn)維、召回等環(huán)節(jié)，運(yùn)用可信計(jì)算、多方安全027軟件供應(yīng)鏈安全技術(shù)白皮書3.3軟件供應(yīng)鏈安全技術(shù)框架律法規(guī)對(duì)供應(yīng)鏈安全治理提出的指導(dǎo)意見與管理要求，多角度考量，將供應(yīng)安全標(biāo)準(zhǔn)規(guī)范，供應(yīng)鏈安全規(guī)章制度與供應(yīng)鏈安全管理體系相融合，制定軟件供應(yīng)鏈安全治理頂層設(shè)計(jì)，管理范圍覆蓋軟件供應(yīng)鏈開發(fā)、交付到使用全生命周期及軟件供應(yīng)鏈安全首先要樹立正確的安全意識(shí)，目標(biāo)是將系統(tǒng)打造成可信任、可評(píng)估、組成成分透明的可信實(shí)體。將安全檢測結(jié)合安全可信白名單機(jī)制、風(fēng)險(xiǎn)預(yù)警、與情報(bào)收集機(jī)制保證內(nèi)部環(huán)境安全。通過建立軟件成分清單(如SBOM)，源代碼管理、漏洞庫管理等安全風(fēng)險(xiǎn)管控機(jī)制，保證軟件供應(yīng)鏈數(shù)據(jù)的安全可信。同時(shí)，配合安全檢測技術(shù)、如代碼審計(jì)、軟件成分分析、動(dòng)態(tài)安全檢測等技術(shù)支持可評(píng)估能力建設(shè)。加快建立軟件成分清單生成與使用規(guī)范，建立管理手段與工具方法庫，標(biāo)準(zhǔn)化軟件成分和軟件成分可視化流程，保證組件透將安全理念與關(guān)鍵技術(shù)相融合，實(shí)現(xiàn)軟件供應(yīng)鏈安全技術(shù)保障，將具體方式方法抽象出可復(fù)制可執(zhí)行的安全解決方案。針對(duì)具體場景實(shí)施供應(yīng)鏈安全監(jiān)督與安全管控，落實(shí)好監(jiān)管部門所關(guān)注的供應(yīng)鏈安全重點(diǎn)領(lǐng)域管理意見及建議，實(shí)現(xiàn)企業(yè)內(nèi)部軟件供應(yīng)鏈安全防護(hù)體系4029軟件供應(yīng)鏈安全技術(shù)白皮書4.1軟件成分清單生成及使用技術(shù)軟件成分清單與軟件物料清單(SBOM)之間的差別在于對(duì)軟件“最小要素”的顆粒度的要求，在技術(shù)思路、實(shí)現(xiàn)步驟上并無本質(zhì)差別?？紤]到軟件物料清單的生成工具與技術(shù)研SBOM的各項(xiàng)關(guān)鍵技術(shù)，來闡釋軟件成分清單的根據(jù)NTIA提供的指導(dǎo)文檔，要求軟件企業(yè)提供的SBOM是一個(gè)正式的、機(jī)器可讀的列表，以實(shí)現(xiàn)軟件供應(yīng)鏈的自動(dòng)化識(shí)別與管理的需求。理想條件下，供應(yīng)鏈中每一環(huán)節(jié)都要求該環(huán)M定義報(bào)告信息的標(biāo)準(zhǔn)來幫助減少軟件的歧義。SPDX通過為企業(yè)和社區(qū)提供共享重要數(shù)據(jù)的xrdfjson，.yml以及.xml)，特征是包括組件、許可證、版權(quán)以及開放標(biāo)準(zhǔn)。不管選用哪種標(biāo)準(zhǔn)和格式，建立軟件成分清單生成及使用機(jī)制都是十分必要的。這不僅有助于應(yīng)對(duì)日益增多的軟件供應(yīng)鏈攻擊事件，還能幫助供應(yīng)鏈中下游環(huán)節(jié)理解上游環(huán)節(jié)的意4.1.1軟件成分清單生成技術(shù)生成軟件成分清單需要考慮兩種情況：主動(dòng)提供形式，即軟件提供商主動(dòng)提供軟件成分清單，此時(shí)生成軟件成分清單的工具可以包含在軟件版本控制系統(tǒng)中，同時(shí)能夠提供一定的[7]InternationalOpenStandard(ISO/IEC5962:2021)-SoftwarePackageDataExchange(SPDX)[8]NVD-SWID()[9]OWASPCycloneDXSoftwareBillofMaterials(SBOM)Standard030軟件供應(yīng)鏈安全關(guān)鍵技術(shù)組成成分更新可追蹤、歷史版本可追溯能力；而另一種是被動(dòng)分析形式，即下游環(huán)節(jié)需要自分運(yùn)維運(yùn)營以及監(jiān)視階段，如果是一個(gè)軟件供應(yīng)鏈中間環(huán)節(jié)的供應(yīng)商，還可以從開發(fā)階段中分如果軟件供應(yīng)商是在軟件研發(fā)后生成軟件成分清單，只能依賴現(xiàn)有的設(shè)計(jì)文檔、測試報(bào)告提取信息，借助人工的方式還原軟件成分，毫無疑問，這樣不僅效率低，也容易遺漏已更[10]NTIASBOMformatsandstandardswhitepaper.[Online.]Available:/files/ntia/publications/ntia_sbom_formats_and_standards_whitepaper_-_version_20191025.pdf031軟件供應(yīng)鏈安全技術(shù)白皮書首先是規(guī)劃階段(plan)。規(guī)劃階段，可以將軟件的設(shè)計(jì)、規(guī)劃闡明，加入SBOM文檔。上文我們提到，可以將采購環(huán)節(jié)分離出來，作為一個(gè)獨(dú)立的環(huán)節(jié)。此處采購的軟件可以是開SBOM“被動(dòng)”生成的方法了，這里暫不來到開發(fā)階段，此階段包括初期編程開發(fā)以及后期編寫軟件補(bǔ)丁。在開發(fā)過程中，需要SCM(軟件配置管理管理)、VCS(版本控制系統(tǒng))等管理系統(tǒng)，同時(shí)對(duì)于進(jìn)階的測試環(huán)節(jié)對(duì)軟件的性能、穩(wěn)定性、可用性等衡量標(biāo)準(zhǔn)進(jìn)行評(píng)測，DevSecOps中還會(huì)進(jìn)行黑盒、內(nèi)外部滲透、交互式應(yīng)用安全測試(IAST)等安全測試。通過測試后，對(duì)軟件進(jìn)行簽名認(rèn)證，并將所用標(biāo)準(zhǔn)、證書信息寫入SBOM。至此，軟件生命周期中的開發(fā)周期暫軟件分發(fā)階段，應(yīng)完善SBOM信息，使其包括但不限于NTIA要求的最低標(biāo)準(zhǔn)信息(作者信息、提供商、產(chǎn)品名稱、版本號(hào)、組件信息的哈希值以及id)以及數(shù)字簽名；開源軟件最后，在維護(hù)/監(jiān)控階段，最理想的情況是將已知安全漏洞信息插入文檔，可以參見本值得一提的是，在現(xiàn)有SBOM三大標(biāo)準(zhǔn)之中，除了SWID支持語言不多，SPDX以及CycloneX在java/python/javascript/golang/Maven等語言中都有提供相應(yīng)的許可證庫以及如果不能獲得軟件提供商的一手軟件成分清單或相關(guān)資料，那么必要時(shí)需要自行分析軟032軟件供應(yīng)鏈安全關(guān)鍵技術(shù)●對(duì)象是開源程序時(shí)，軟件企業(yè)或最終用戶無法直接獲得軟件成分清單與更新服務(wù)，需要自行維護(hù)。目前，企業(yè)用戶多采用SCA(OpenSourceSoftwareCompositionAnalysis)這類專業(yè)開源軟件成分分析與管理系統(tǒng)，管理所引入的開源軟件的安全風(fēng)險(xiǎn)。自動(dòng)化的SCA工具對(duì)應(yīng)用程序的源代碼，包括模塊、框架、庫、容器、注冊(cè)表等工件進(jìn)行自動(dòng)化掃描，以識(shí)別和清點(diǎn)開源軟件的所有組件構(gòu)成和依賴關(guān)系，并識(shí)別已知的安全漏洞或者潛在的許可證授權(quán)問題。把這些風(fēng)險(xiǎn)排查在應(yīng)用系統(tǒng)投產(chǎn)之在軟件供應(yīng)鏈中，無論是上游還是下游企業(yè)，都建議建立自己的軟件成分清單，不論是通過數(shù)據(jù)庫獲取某一軟件成分清單，比對(duì)軟件成分清單信息判斷是否被篡改；還是通過已有軟件成分清單改進(jìn)生成技術(shù)，建立完善的軟件成分清單生成機(jī)制、存儲(chǔ)機(jī)制，都能對(duì)軟件安4.1.2軟件成分清單分析工具輯這三種功能；消費(fèi)方面，分為瀏覽(人類可讀)、SBOM文件對(duì)比以及SBOM文件導(dǎo)入三當(dāng)然，一個(gè)分析工具可以是這三類，并包含有關(guān)于這個(gè)build的信息SBOM本等)形式提供信息，輔助決策、商業(yè)進(jìn)程OM息的同時(shí)從一個(gè)文件類型轉(zhuǎn)變?yōu)榱硪粋€(gè)文件類型orgwpcontentuploadsLFLiveGeneratingSBOMspdf軟件供應(yīng)鏈安全技術(shù)白皮書0334.1.3開源許可證授權(quán)風(fēng)險(xiǎn)管理對(duì)于軟件開發(fā)者來說，在軟件供應(yīng)鏈中使用開源軟件，面對(duì)的風(fēng)險(xiǎn)不僅僅在于技術(shù)層面開源許可證，對(duì)使用開源項(xiàng)目中的軟件代碼、二進(jìn)制等文件進(jìn)行分發(fā)、修改和重用等行為進(jìn)行合法定義、約束的條款，它規(guī)定了軟件開發(fā)者和軟件用戶之間應(yīng)當(dāng)行使的權(quán)利義務(wù)。企業(yè)向(缺乏賓語)公開自己產(chǎn)品的部分源代碼時(shí)，需要選擇合適的開源許可證保留自身開源軟件許可證，是合法地使用開源軟件的先決條件，特別是對(duì)于大型軟件系統(tǒng)，許可證信其龐大的數(shù)量、繁多的種類，對(duì)開源許可證分析工作帶來了很多困難，引發(fā)了軟件產(chǎn)業(yè)對(duì)包含不同的開源許可證組件產(chǎn)生許可證兼容性沖突問題，商業(yè)軟件如何選擇許可證組合以減少隨著軟件物料清單(SBOM)概念的提出，GeorgiaM等人通過使用軟件成分分析標(biāo)準(zhǔn)的X通過在軟件成分清單中明確對(duì)開源許可證的要求，可以更簡單、有效的解決終端用戶評(píng)估許可證安全風(fēng)險(xiǎn)。為了更好地保障軟件供應(yīng)鏈的安全，軟件許可證風(fēng)險(xiǎn)也應(yīng)考慮在內(nèi)，這就需要識(shí)別、管理許可證的能力。而管理許可證風(fēng)險(xiǎn)的大前提是不變的—明確軟件都有哪些組4.1.4開源軟件成分管理可傳遞依賴關(guān)系引入的安全風(fēng)險(xiǎn)在開源項(xiàng)目中尤為突出，一個(gè)代表就是2021年12月份出現(xiàn)的Log4j2漏洞(CVE-2021-44228)。Log4j2作為一個(gè)堪比標(biāo)準(zhǔn)庫的基礎(chǔ)日志庫，受到[12]/[13]GNU操作系統(tǒng)和自由軟件運(yùn)動(dòng)[14]KapitsakiGM,KramerF.OpenSourceLicenseViolationCheckforSPDXFiles[C]//InternationalConferenceonSoftwareReuse.Springer,Cham,2015:90-105[15]KapitsakiGM,KramerF,TselikasND.AutomatingthelicensecompatibilityprocessinopensourcesoftwarewithSPDX[J].JournalofSystems&Software,2016.034軟件供應(yīng)鏈安全關(guān)鍵技術(shù)無數(shù)開源Java組件直接或間接依賴。根據(jù)綠盟科技研究員分析[32]，此次爆發(fā)的Log4j2漏洞影響范圍廣泛且危害嚴(yán)重，在各個(gè)場景領(lǐng)域皆應(yīng)獲得重點(diǎn)關(guān)注。分析這種龐大且復(fù)雜的關(guān)知識(shí)圖譜技術(shù)近幾年在工業(yè)界應(yīng)用也越來越廣泛。如網(wǎng)絡(luò)安全、醫(yī)療、法律、金融垂直領(lǐng)域都已經(jīng)有比較好的應(yīng)用案例。知識(shí)圖譜本質(zhì)上是一種大型的語義網(wǎng)絡(luò)，它旨在描述客觀世界的概念實(shí)體事件及其之間的關(guān)系，以實(shí)體概念為節(jié)點(diǎn)，以關(guān)系為邊，提供一種從關(guān)系的參考CycloneDX提供的開源組件成分及其關(guān)系規(guī)范化的格式描述，可以通過關(guān)系圖描述通過知識(shí)圖譜可以很好的解決開源軟件復(fù)雜的依賴關(guān)系表示不清晰問題，讓開源軟件成035軟件供應(yīng)鏈安全技術(shù)白皮書1．知識(shí)圖譜的圖表示方法構(gòu)建開源軟件的成分深層關(guān)系(如依賴、引用、許可等)；2．使用開源軟件相關(guān)的漏洞知識(shí)庫和其建立關(guān)系，利用知識(shí)圖譜的分層傳播路徑搜索算3．應(yīng)用圖算法分析知識(shí)圖譜(依賴關(guān)系圖)獲得最具風(fēng)險(xiǎn)的關(guān)鍵依賴關(guān)系，推薦有效的圖4.3開源軟件知識(shí)圖譜本體模型在安全分析研究方面，開源軟件知識(shí)圖譜可以幫助安全人員對(duì)開源軟件進(jìn)行全面的風(fēng)險(xiǎn)1.基于開源組件屬性特征(如源代碼、包等文件的hash值)來判定組件是否存在被包裝2.利用不同開源組件的依賴關(guān)系，結(jié)合組件版本信息，可以在高危漏洞應(yīng)急響應(yīng)中快速識(shí)別受影響的其他組件，通過圖的聚合及子圖拆分等圖優(yōu)化算法能夠高效、持續(xù)的輸出風(fēng)險(xiǎn)如下圖，展示了log4j-core@2.3組件存在的多個(gè)高危漏洞關(guān)系，如果在軟件中引用了存在高危漏洞的開源組件，無疑會(huì)給軟件產(chǎn)品帶來潛在的威脅，同樣，軟件供應(yīng)商的軟件產(chǎn)品036軟件供應(yīng)鏈安全關(guān)鍵技術(shù)圖4.4log4j組件的依賴圖譜4.1.5軟件成分清單輔助套件VEXVEX(vulnerabilityexploitabilityexchange，漏洞可利用性交流/交換)概念和格式是美幫助用戶獲得這些漏洞的狀態(tài)、信息，并借此評(píng)估這些漏洞的可利用性(輔助用戶判斷這些漏洞是否對(duì)軟件有影響—不影響軟件/已經(jīng)修復(fù)/調(diào)查中/影響軟件；以及如果受到影響，建議采取哪些補(bǔ)救措施)。部分情況下由于各種原因(例如，編譯器未加載受影響的代碼，或者軟件中其他地方存在一些內(nèi)聯(lián)保護(hù))，導(dǎo)致上游組件中的漏洞不會(huì)被“利用”，此時(shí)可要生成一份VEX文檔，需要三個(gè)步驟：組件標(biāo)識(shí)、漏洞標(biāo)識(shí)以及漏洞狀態(tài)(見下圖)。[16]/files/ntia/publications/draft_requirements_for_sharing_of_vulnerability_status_information_-_vex.pdf037軟件供應(yīng)鏈安全技術(shù)白皮書族標(biāo)識(shí)--作者作用/角色--完整性/簽名/…--漏洞(每一個(gè)標(biāo)識(shí)出的漏洞)-漏洞狀態(tài)(機(jī)器可讀)--影響的組件(可選)-NTIAVEXVEX檔的結(jié)構(gòu)和內(nèi)容，可以參考Cyclone在github上給出的示例文檔(json格式)[18]。VEX可以看作是SBOM的特殊需求，是SBOM所需(所要求)基本信息的延伸與擴(kuò)展。描述，VEX可以與SBOM合并，也可以作為獨(dú)立的文檔存在)[19][20]這是因?yàn)镾BOM對(duì)于給定的構(gòu)建通常是靜態(tài)的，但VEX在更改中可能是動(dòng)態(tài)的(如漏洞當(dāng)前狀態(tài)可能隨著調(diào)查[17]/files/ntia/publications/framing_2021-04-29_002.pdf[18]/CycloneDX/sbom-examples/blob/master/VEX/vex.json[19]/files/ntia/publications/vex_one_summary.pdf[20]/capabilities/vex/038軟件供應(yīng)鏈安全關(guān)鍵技術(shù)SBOMCVE復(fù)的SBOM文檔，而這份多余的成本是可以通過VEX與SBOM的分割而避免的。因此，供應(yīng)商應(yīng)在實(shí)際應(yīng)用中根據(jù)具體情況，選擇是否將M建議標(biāo)準(zhǔn)。正如CSAF所定義的，VEX還可以提供豐富的信工作量”。供應(yīng)商可以輕松地傳達(dá)客戶因漏洞而面臨的風(fēng)險(xiǎn)(或不存在風(fēng)險(xiǎn))。供應(yīng)商可以VEX檔，而不是生成一個(gè)長長PDF列表1000多個(gè)產(chǎn)品及其潛在的漏洞暴露。這大大減少了在漏洞恐慌時(shí)安撫客戶所需SaaSBOM為了實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性、完整性、可用性所依賴的技術(shù)堆棧，表示方式則可以選擇SPDX或[21]/files/ntia/publications/framing_2021-04-29_002.pdf[22]/articles/38485039軟件供應(yīng)鏈安全技術(shù)白皮書RL4.2軟件供應(yīng)鏈安全檢測技術(shù)軟件供應(yīng)鏈安全檢測技術(shù)需要覆蓋整個(gè)軟件生命周期，主要涉及五類安全檢測技術(shù)，分Z不同的檢測技術(shù)能夠解決軟件供應(yīng)鏈特定階段的安全問題，下表對(duì)五類技術(shù)作了簡要介紹以件中依件設(shè)計(jì)/開發(fā)開發(fā)/測試/測試/運(yùn)營測試/運(yùn)營開發(fā)/測試低高低極低(幾乎為0)低高高低中低高高中中程度需人工沒有誤報(bào)沒有誤報(bào)低低低低[23]/article/3632149/the-case-for-a-saas-bill-of-material.html[24]/capabilities/saasbom/[25]/CycloneDX/sbom-examples/blob/master/SaaSBOM/apigateway-microservices-datastores/bom.json軟件供應(yīng)鏈安全關(guān)鍵技術(shù)040件組成分析(SCA)在軟件供應(yīng)鏈中，開源軟件因其開放、共享、自由的特點(diǎn)，而被廣泛應(yīng)用。開源代碼的使用大幅提高了軟件研發(fā)的效率，降低了開發(fā)的成本。但是由于開源項(xiàng)目的質(zhì)量參差不齊，很容易存在安全漏洞，或者受到攻擊者的惡意篡改，項(xiàng)目維護(hù)者也可能未能對(duì)漏洞進(jìn)行及時(shí)修復(fù)，造成極大的安全隱患。當(dāng)今開源軟件數(shù)量呈指數(shù)增長，開源軟件之間存在復(fù)雜的依賴關(guān)系，導(dǎo)致無法單純通過人力對(duì)漏洞進(jìn)行篩查。為了自動(dòng)和高效地解決開源應(yīng)用威脅這一問題，軟件組成分析技術(shù)(SCA)應(yīng)運(yùn)而生，這是目前對(duì)應(yīng)用程序組成分析、漏洞檢測最有效SCA是一種靜態(tài)的，白盒的檢測技術(shù)，通過自動(dòng)化流程，對(duì)軟件源代碼、二進(jìn)制文件進(jìn)SCA從理論上來說是一種通用的分析方法，可以對(duì)任何開發(fā)語言對(duì)象進(jìn)行分析，Java、C/C++、Golang、Python、JavaScript等等，它關(guān)注的對(duì)象是構(gòu)成軟件的第三方工件，以及工件之間的依賴關(guān)系。SCA從分析過程來看，可以概括為源代碼/二進(jìn)制分析、特征提取和 (1)源代碼/二進(jìn)制分析SCA式上分，既可以是源代碼也可以是編譯出來的各種類型的二進(jìn)常量字符串等等，不管目標(biāo)程序運(yùn)行在x86平臺(tái)還是ARM平臺(tái)，不管是windows程序還是Linux程序，都是一樣的，簡而言之SCA是一種跨開發(fā)語言的應(yīng)用程序分析技術(shù)。二進(jìn)制分ARJ(.arj)、XZ(.xz)、LZMA(.lz)、LZ4(.lz4)、Compress(.Z)、Pack200(.jar)RedHatRPM(.rpm)Debianpackage(.deb)Macinstance(.dmg,.pkg)Windowsinstallers(.exe,.msi,.cab)041軟件供應(yīng)鏈安全技術(shù)白皮書文件系統(tǒng)/電子盤a (2)特征提取與識(shí)別術(shù)?！癜芾斫馕鐾ㄟ^分析源代碼中包含的包管理配置文件，如Python項(xiàng)目中的requirements.txt、NPMpackagejson得到對(duì)應(yīng)的軟件組成。包管理解析的執(zhí)行效率和準(zhǔn)確率都很二進(jìn)制文件等,就會(huì)產(chǎn)生漏報(bào)，如C語言本身是沒有包管理器的,直接在代碼中使用了開源組件的源碼,因此也就無法判斷出來使用了哪些組件。包管理文件也可能存在未定義組件版本的情況，此時(shí)無法定位實(shí)際使用的版本，也就無法確定該組件是否存在漏洞。商業(yè)軟件中●指紋識(shí)別將目標(biāo)文件進(jìn)行特征值計(jì)算，將計(jì)算得到的特征值與組件特征數(shù)據(jù)庫進(jìn)行比較，匹配組1.結(jié)構(gòu)化的指紋識(shí)別，通過分析一個(gè)目錄下的結(jié)構(gòu)，來生成指紋做相似度對(duì)比，識(shí)別開，通過識(shí)別本地的文件的哈希值，文件的大小信息等，來識(shí)別開源指紋，來進(jìn)行相似度比較，識(shí)別組件和第三方商業(yè)組件 (3)漏洞檢測將識(shí)別出的組件與組件漏洞庫進(jìn)行比對(duì)，發(fā)現(xiàn)組件中存在的漏洞、許可證授權(quán)風(fēng)險(xiǎn)，并042軟件供應(yīng)鏈安全關(guān)鍵技術(shù) SBOM包含軟件的所有組件構(gòu)成以及依賴關(guān)系，漏洞、許可證等關(guān)鍵信息，對(duì)于供應(yīng)鏈 用程序應(yīng)鏈組于以達(dá)與軟件、許全信息要完源許可易于使些行業(yè)件產(chǎn)品安部分添加在產(chǎn)品卸 tory洞識(shí)規(guī)性和使用后，變包和相關(guān)內(nèi)容的信息?！睘榱艘粋€(gè)國際的開放標(biāo)業(yè)參與立、富薩和東周期中助企業(yè) w rmatxml 作商，組件證書信息，創(chuàng)建息(依賴關(guān)系圖)能包含在包信息里)，證書信關(guān)系，注釋信息(例包版包下載結(jié)束許許可注球唯識(shí)標(biāo)信息識(shí)并描043軟件供應(yīng)鏈安全技術(shù)白皮書sionfunctionsfunctionshfunctions近年來，由開源組件和第三方商業(yè)軟件引發(fā)的供應(yīng)鏈安全問題層出不窮，拿最近的Log4j和SolarWinds入侵事件來舉例，因其應(yīng)用廣泛，可利用性強(qiáng)，造成極大影響。SCA技術(shù)不需要運(yùn)行程序，通過靜態(tài)的方式分析第三方軟件的組成，得到應(yīng)用程序的組件知識(shí)圖譜，能夠有效提升軟件供應(yīng)鏈的透明度，進(jìn)而關(guān)聯(lián)出存在的已知漏洞清單，幫助用戶及(SAST)軟件供應(yīng)鏈從軟件生命周期角度可劃分為開發(fā)、交付、使用三大環(huán)節(jié)，每個(gè)環(huán)節(jié)都可能會(huì)引入供應(yīng)鏈安全風(fēng)險(xiǎn)，上游環(huán)節(jié)的安全問題會(huì)傳遞到下游環(huán)節(jié)。開發(fā)環(huán)節(jié)作為軟件供應(yīng)鏈的上游環(huán)節(jié)，從該環(huán)節(jié)入手，及早發(fā)現(xiàn)和修復(fù)安全問題非常必要。早在2005年，美國總統(tǒng)信息技術(shù)咨詢委員會(huì)關(guān)于信息安全的年度報(bào)告中就曾指出：美國重要部門使用的軟件產(chǎn)品必須加強(qiáng)安全檢測，尤其是應(yīng)該進(jìn)行軟件代碼層面的安全檢測。而在美國國土安全部(DHS)碼缺陷分類庫CWE(CommonWeaknessEnumeration)，以統(tǒng)一分類和檢測領(lǐng)域開展了許多工作，包括：CERT發(fā)布了一系列安全編程(C/C++、Java等)標(biāo)準(zhǔn)，靜態(tài)安全分析正是這樣一種針對(duì)開發(fā)過程中源代碼進(jìn)行安全檢測的技術(shù)，內(nèi)置多種缺陷檢測規(guī)則，將源代碼轉(zhuǎn)換為易于掃描的中間數(shù)據(jù)格式，使用缺陷檢測技術(shù)對(duì)其進(jìn)行分析，匹配缺陷規(guī)則，從而發(fā)現(xiàn)源代碼中存在的缺陷，并提供修復(fù)建議，幫助用戶及早修復(fù)，從而降軟件供應(yīng)鏈安全關(guān)鍵技術(shù)044 (1)語法分析技術(shù)語法分析指按具體編程語言的語法規(guī)則處理詞法，分析程序產(chǎn)生的結(jié)果并生成語法分析BNF即程序中是BNF要技術(shù)包括算符優(yōu)先分析法(自底向上)、遞歸下降分析法(自頂向下)和LR分析法(自左至右、自底向上)等。語法分析是編譯過程中的重要步驟，也是其他分析的基礎(chǔ)。 (2)類型分析技術(shù)類型分析主要指類型檢查。類型檢查的目的是分析程序中是否存在類型錯(cuò)誤。類型錯(cuò)誤通常指違反類型約束的操作，如讓兩個(gè)字符串相乘、數(shù)組的越界訪問等。類型檢查通常是靜態(tài)進(jìn)行的，但也可以動(dòng)態(tài)進(jìn)行。編譯時(shí)進(jìn)行的類型檢查是靜態(tài)檢查。對(duì)于一種編程語言，如果它的所有表達(dá)式的類型可以通過靜態(tài)分析確定下來，進(jìn)而消除類型錯(cuò)誤，那么這個(gè)語言是靜態(tài)類型語言(也是強(qiáng)類型語言)。利用靜態(tài)類型語言開發(fā)出的程序可以在運(yùn)行程序之前消除許多錯(cuò)誤，因此程序質(zhì)量的保障相對(duì)容易(但表達(dá)的靈活性相對(duì)弱)。 (3)控制流分析技術(shù)控制流分析的輸出是控制流圖，通過控制流圖可以得到關(guān)于程序結(jié)構(gòu)的一些描述，包括軟件供應(yīng)鏈安全技術(shù)白皮書045 (4)數(shù)據(jù)流分析技術(shù)數(shù)據(jù)流分析用于獲取有關(guān)數(shù)據(jù)如何在程序的執(zhí)行路徑上流動(dòng)的信息。在程序的控制流圖046軟件供應(yīng)鏈安全關(guān)鍵技術(shù)數(shù)據(jù)流分析代碼示例圖如上所示，如參數(shù)w是存在漏洞的數(shù)據(jù)，則數(shù)據(jù)流路徑BB0-同時(shí)，污染傳播分析也是數(shù)據(jù)流分析技術(shù)的一種應(yīng)用，在漏洞分析中，使用污點(diǎn)分析技術(shù)將所感興趣的數(shù)據(jù)(通常來自程序的外部輸入)標(biāo)記為污點(diǎn)數(shù)據(jù)，然后通過跟蹤和污點(diǎn)數(shù)據(jù)相 (1)輸入驗(yàn)證類[26]輸入驗(yàn)證類缺陷指程序沒有對(duì)輸入數(shù)據(jù)進(jìn)行有效驗(yàn)證所導(dǎo)致的缺陷。常見的輸入驗(yàn)證類針對(duì)輸入驗(yàn)證類缺陷，需要對(duì)輸入進(jìn)行驗(yàn)證，驗(yàn)證的內(nèi)容包括數(shù)據(jù)是否包含超出預(yù)期的\、\'、\"、.等，還需對(duì)危險(xiǎn)字符進(jìn)行轉(zhuǎn)義。也可以通過驗(yàn)證行為凈化所有不可信的輸出，如 (2)資源管理類 (3)代碼質(zhì)量類代碼質(zhì)量類缺陷指由于代碼編寫不當(dāng)所導(dǎo)致的缺陷，低劣的代碼質(zhì)量會(huì)導(dǎo)致不可預(yù)測行為的發(fā)生。常見的代碼質(zhì)量類缺陷包括整數(shù)問題、空指針解引用、初始化問題、不當(dāng)?shù)难h(huán)對(duì)于代碼質(zhì)量類缺陷，需要針對(duì)性地進(jìn)行解決，如使用整數(shù)時(shí)，要避免操作結(jié)果超出整047軟件供應(yīng)鏈安全技術(shù)白皮書靜態(tài)安全分析技術(shù)不需要運(yùn)行程序，能夠覆蓋100%的代碼庫，但檢查結(jié)果可能存在漏(DAST)黑客大多針對(duì)運(yùn)行中的系統(tǒng)或業(yè)務(wù)進(jìn)行黑盒掃描，尋找可能存在的薄弱點(diǎn)進(jìn)行攻擊。動(dòng)態(tài)應(yīng)用安全測試(