随着开源和云原生时代的到来,软件供应链变得越来越复杂,安全风险也不断增加。与此同时,针对软件供应链中薄弱环节的网络攻击也日益增多。目前,国内外对于加强供应链安全管理已达成共识,软件供应链已经成为网络空间攻防对抗的焦点,直接影响着关键基础设施和重要信息系统的安全性。
一、安全挑战
近年来,针对软件供应链各环节的攻击呈现上升趋势,如漏洞利用、后门植入、源代码污染、升级劫持等,结合现阶段国际网络安全形势,软件供应链安全主要面临如下挑战:
1、国际竞争加剧,完整性遭受挑战
西方国家通过严密的技术封锁和完善的出口管制法律制度体系,将本国的软件、硬件和技术列入出口管制清单。国际软件供应链竞争环境的加剧,使得软件供应链的完整性遭遇严重挑战,这对我国自主研发生产相关软硬件、研发创新技术以及提高 IT 技术实力提出了新要求。
2、开源趋势明显,合规性风险增加
随着软件供应链开源趋势愈加明显,GitHub 托管的公共存储库数量激增。开源软件成为黑客和恶意攻击者最常用的攻击媒介之一。由于开源软件之间的关联依赖关系非常复杂,一旦出现安全问题,其漏洞的攻击面将会呈爆炸式扩大影响。
3、软件愈加复杂,多环节存在隐患
随着软件规模扩大、程序逻辑复杂化,软件完整语义和操作逻辑变得愈加难以理解,设计缺陷、深层次漏洞更难以发现,后门也更易于隐藏。新增组件需要与原组件进行交互,导致软件开发的组件化、复用化以及软件供应链的产生,这其中的每个环节都可能产生安全威胁。
4、敏捷开发盛行,安全效率平衡难
在敏捷开发模式中,由于安全对开发效率产生负面影响,安全与开发之间出现严重脱节。传统安全团队介入模式已经滞后,无法有效进行系统安全防护,同时也会影响应用的交付速度。如何在短时间内完善软件功能、进行充分的安全性测试,实现质量、安全和速度的平衡成为当前企业和开发部门面临的重要挑战。
二、鹏信科技解决方案
鹏信科技软件供应链安全管控方案主要分成三个环节,对软件的采购设计、开发测试、发布运营环节提出了相应的对策。该方案在CI/CD全流程中引入嵌入式安全能力,形成SAST、DAST、IAST等安全工具集,实现软件全生命周期安全管控。
01 采购设计环节
- 建立供应商信息库,记录供应商产品信息、企业资质、安全能力、开发能力等信息。
- 针对供应商建立评估模型,为采购环节提供依据,形成符合企业采购要求的供应商标准。
- 提前考虑安全原则并做好安全威胁建模,实现安全需求左移。
02 开发测试环节
- 通过SCA识别内部软件物料清单,形成SBOM清单,记录提供商、版本号和组件名称等关键信息。
- 建立开源组件库,包括开源组织名称/开发者名称、软件组件名称、组件版本、许可证类型信息等核心参数。
- 融合CVE、CNNVD、国内外开源社区漏洞库、厂商威胁情报库等多源漏洞知识库积累,联合本地软件成分清单、开源组件库,通过标准化接口及流程进行集成交互,及时推送开源软件漏洞及许可风险信息。
03 发布运营环节
- 多源数据交互:基于SBOM、漏洞情报库、VEX库等多源数据交互,及时发现重要紧急的安全漏洞风险。
- 风险检测:常态化引入SCA、DAST、RASP等开展存量风险监测。
- 应急处置:针对组件高危漏洞预警、高危漏洞攻击、许可违规使用场景提供自动化的一键式智能处置。
- 软件构成图谱:基于软件、组件、风险等元素形成开源软件综合视图。
结合在软件供应链安全治理领域的实践,鹏信科技提出软件供应链安全管控建设框架,引入安全能力底座实现软件供应链安全工具集成与调度,并具备工具运行管理和策略管理能力。能力中心通过底座网关调用工具链能力,实现成分分析、漏洞检测等核心能力,并在前台形成供应链安全服务。
三、方案优势与价值
鹏信软件供应链安全管控方案通过多种安全运营管控手段,实现了对软件供应链的整体防护效果的提升。具体展现在以下几个方面:
01 深度流程结合,加速安全开发
规范开源软件的引入流程,明确安全评估责任机制,提前规避已知许可和漏洞风险,加速企业secdevops落地应用。
02 厘清软件资产,建立开源图谱
依托成分分析厘清企业内部软件项目包含的开源组件清单,形成可视化的企业SBOM以及组件依赖关系图谱,助力企业快速梳理开源软件资产。
03 云端情报推送,快速定位漏洞
兼容CVE、CNVD、CNNVD、NVD等权威漏洞情报库,结合VEX、KEV等先进理念,可快速定位现网开源组件漏洞风险,并形成有效的治理优先级。
04 生命周期管控,满足监控要求
具备开发全生命周期安全管控,提升企业风险处置能力,满足上级单位供应链安全监管要求。
目前鹏信科技软件供应链安全相关产品已助力运营商、能源行业以及工业互联网安全公共服务高效开展软件供应链安全治理工作,在日常安全运营及重大活动保障中发挥重要作用。鹏信科技已于2022年加入信息通信软件供应链安全社区,并积极参与相关研究和探索实践。经过多年的技术和经验积累,鹏信科技将继续努力创新,并致力于成为国内主流的软件供应链安全解决方案提供商。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。