《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 專題·供應(yīng)鏈安全 | 軟件供應(yīng)鏈安全現(xiàn)狀分析與對策建議

專題·供應(yīng)鏈安全 | 軟件供應(yīng)鏈安全現(xiàn)狀分析與對策建議

2021-11-25
來源: 中國信息安全
關(guān)鍵詞: 軟件供應(yīng)鏈

  數(shù)字化時(shí)代,軟件無處不在,。軟件已經(jīng)成為支撐社會(huì)正常運(yùn)轉(zhuǎn)的最基本元素之一,,軟件的安全性問題也正在成為當(dāng)今社會(huì)的根本性、基礎(chǔ)性問題,。隨著軟件產(chǎn)業(yè)的快速發(fā)展,,軟件供應(yīng)鏈也越發(fā)復(fù)雜多元,復(fù)雜的軟件供應(yīng)鏈會(huì)引入一系列的安全問題,,導(dǎo)致信息系統(tǒng)的整體安全防護(hù)難度越來越大,。

  一、軟件供應(yīng)鏈安全現(xiàn)狀

  近年來,,針對軟件供應(yīng)鏈的安全攻擊事件一直呈快速增長態(tài)勢,,造成的危害也越來越嚴(yán)重,其中,,開源軟件的安全問題尤其值得關(guān)注,。

  (一) 供應(yīng)鏈安全事件持續(xù)高發(fā)

  軟件供應(yīng)鏈安全事件愈演愈烈,,下表歸納了最近一年的典型事件,,但這只是冰山一角。不難看出,,供應(yīng)鏈攻擊可謂無處不在,,在軟件生命周期的各個(gè)環(huán)節(jié)中、軟件產(chǎn)品的各種元素上都可能發(fā)生,。

  表 1 近一年主要軟件供應(yīng)鏈安全事件

 ?。ǘ┲饕浖?yīng)鏈攻擊類型

  軟件產(chǎn)品的生命周期包括設(shè)計(jì)、生產(chǎn),、交付,、部署、使用及運(yùn)營,、停止等階段,。面向此生命周期所涉及的分工協(xié)作、聯(lián)合攻關(guān),、平臺(tái)環(huán)境等就是軟件供應(yīng)鏈的主要內(nèi)容,,軟件供應(yīng)鏈的主要攻擊類型也與這些環(huán)節(jié)密切相關(guān)。

  生產(chǎn)階段涉及軟件產(chǎn)品的開發(fā),、集成,、構(gòu)建等,此階段的供應(yīng)鏈安全問題主要包括三類:第一類是針對軟件生產(chǎn)要素的攻擊,,即攻擊者利用安全漏洞,、后門等修改編碼環(huán)境、源碼庫等開發(fā)工具或軟件自身,植入惡意代碼,,并經(jīng)網(wǎng)絡(luò),、存儲(chǔ)介質(zhì)等進(jìn)行傳播,用戶下載使用后,,引入風(fēng)險(xiǎn),;第二類是開發(fā)者對所使用的第三方軟件,特別是開源組件未經(jīng)安全測試而直接使用,,不了解其中的安全漏洞和法律風(fēng)險(xiǎn),;第三類是軟件產(chǎn)品構(gòu)建時(shí),在編譯和鏈接,、產(chǎn)品容器化,、打包等過程中,使用的工具或產(chǎn)品對象本身被污染或惡意修改而帶來的安全風(fēng)險(xiǎn),,如 Codecov事件。

  交付和運(yùn)營階段涉及軟件產(chǎn)品的發(fā)布,、傳輸,、下載、安裝,、補(bǔ)丁升級等,,互聯(lián)網(wǎng)或移動(dòng)傳輸介質(zhì)是其重要手段。在發(fā)布和下載方面,,發(fā)布渠道或商城如對軟件安全性缺乏分析和測試則會(huì)存在潛在風(fēng)險(xiǎn),;攻擊者可通過捆綁攻擊,在常用軟件中捆綁額外功能,,如果這些功能涉及用戶隱私,、信息的收集,則后患無窮,;針對發(fā)布站點(diǎn)的攻擊,,如域名劫持(DNS)、內(nèi)容分發(fā)系統(tǒng)(CDN)緩存節(jié)點(diǎn)篡改等,,會(huì)使用戶下載存在惡意代碼或后門的軟件,。在軟件更新和升級方面,攻擊者可能通過中間人攻擊替換升級軟件或補(bǔ)丁包,,或誘導(dǎo)用戶從非官方發(fā)布渠道下載,,以達(dá)到攻擊的目的,也可能使用捆綁攻擊在升級包中增加額外軟件功能,。

 ?。ㄈ╅_源安全問題應(yīng)特別關(guān)注

  Gartner 報(bào)告曾指出,在當(dāng)前 DevOps 之類的開發(fā)模式下,應(yīng)用程序中大部分代碼是被“組裝”而不是“開發(fā)”出來的,。據(jù)其統(tǒng)計(jì),,超過 95% 的組織在業(yè)務(wù)關(guān)鍵 IT 系統(tǒng)中都主動(dòng)或被動(dòng)地使用了重要的開源軟件(OSS)資產(chǎn);Forrester Research 研究也表明,,應(yīng)用軟件 80%~90% 的代碼來自開源組件,。因此,開源組件的安全性直接關(guān)系到信息系統(tǒng)基礎(chǔ)設(shè)施的安全,,但從前表中可以看出,,開源安全性不容樂觀,它已成為軟件供應(yīng)鏈安全問題增長的重要因素,。

  今年 6 月,,奇安信代碼安全實(shí)驗(yàn)室發(fā)布了《2021中國軟件供應(yīng)鏈安全分析報(bào)告》。報(bào)告通過對 2188個(gè)企業(yè)軟件項(xiàng)目的檢測結(jié)果進(jìn)行分析,,得出了開源使用的安全狀況:所有軟件項(xiàng)目均使用了開源軟件,,平均每個(gè)項(xiàng)目使用開源軟件數(shù)量達(dá) 135 個(gè),使用最多的開源軟件出現(xiàn)在 581 個(gè)項(xiàng)目中,,滲透率達(dá)到了26.6%,;平均每個(gè)軟件項(xiàng)目存在 52.5 個(gè)開源軟件漏洞,存在開源軟件漏洞,、高危開源軟件漏洞和超危開源軟件漏洞的項(xiàng)目分別為 1695 個(gè),、1559 個(gè)、1319個(gè),,占比分別為 77.5%,、71.3%、60.3%,;影響面最大的開源軟件漏洞 (Spring FrameWork 漏洞 ) 出現(xiàn)在973 個(gè)項(xiàng)目中,,滲透率高達(dá) 44.5%,一旦該漏洞被攻擊者利用,,將影響近半數(shù)的企業(yè)軟件,,波及的企業(yè)數(shù)量更加不計(jì)其數(shù)。

  此外,,根據(jù)奇安信代碼安全實(shí)驗(yàn)室另一項(xiàng)針對聯(lián)網(wǎng)設(shè)備固件的安全檢測表明,,攝像頭、路由器等智能聯(lián)網(wǎng)設(shè)備的開源軟件安全問題也很突出:許多多年之前的老舊漏洞未進(jìn)行及時(shí)修復(fù),,86.4% 的設(shè)備的最新固件存在至少一個(gè)老舊開源軟件漏洞,,漏洞最多的固件存在 74 個(gè)老舊開源軟件漏洞,甚至2014 年曝出的“心臟滴血”漏洞,,仍然存在于 5.3%的最新設(shè)備中,。

 ?。ㄋ模┕?yīng)鏈攻擊頻發(fā)原因分析

  生產(chǎn)模式的變化。用戶對軟件功能,、應(yīng)用實(shí)效等方面的需求越來越高,,這就要求開發(fā)者在短時(shí)間內(nèi)實(shí)現(xiàn)相應(yīng)功能,還要持續(xù)不斷地進(jìn)行迭代更新,。軟件系統(tǒng)往往由自主研發(fā)的,、開源獲取的、外包開發(fā)的,、商業(yè)購買的等多種來源的部件組合而成,,為了響應(yīng)快速開發(fā)的需求,軟件供應(yīng)鏈中第三方來源的如開源,、外包,、商業(yè)等成分軟件的占比會(huì)增加,從而引入更多“不可控”成分,,增加了軟件安全評估的難度,,也提高了軟件供應(yīng)鏈風(fēng)險(xiǎn)。

  軟件自身的變化,。軟件系統(tǒng)規(guī)模越來越大,,程序邏輯越來越復(fù)雜,因此對軟件的理解和分析也越來越難,,這也造成了對軟件把關(guān)和分析技術(shù)的門檻越來越高。另外,,開源,、庫文件等提高了代碼復(fù)用性,但在算法,、結(jié)構(gòu),、邏輯、特性等復(fù)用的同時(shí),,也帶來了缺陷,、漏洞等風(fēng)險(xiǎn)的復(fù)制,極大增加了供應(yīng)鏈的攻擊面,,會(huì)造成某一點(diǎn)問題的大面積爆發(fā),,利用Struts2 等開源漏洞攻擊的影響面之廣就是個(gè)很好的例子。

  環(huán)境渠道的多樣,。軟件產(chǎn)品開發(fā),、構(gòu)建、部署,、交付等環(huán)節(jié)的生產(chǎn)線環(huán)境和發(fā)布渠道越來越多樣化,、多元化,,IDE、代碼管理系統(tǒng),、Bug 管理系統(tǒng),、構(gòu)建工具、CI/CD 工具,、云平臺(tái)部署,、交付方式等的選擇越來越多,這些輔助工具或渠道的不安全因素會(huì)作為“基因”傳導(dǎo)至軟件產(chǎn)品中,,也會(huì)增加軟件供應(yīng)鏈的攻擊面,。

  二、美國和我國的相關(guān)舉措分析

 ?。ㄒ唬?美國加快供應(yīng)鏈風(fēng)險(xiǎn)管理步伐

  早在 2013 年,,美國就發(fā)布了第一部 ICT 供應(yīng)鏈安全方面的標(biāo)準(zhǔn)《供應(yīng)商關(guān)系的信息安全(ISO/IEC 27036)》,針對客戶和供應(yīng)商之間的購買與供應(yīng)關(guān)系,,規(guī)定了信息安全管理框架,;又于 2015 年發(fā)布了《聯(lián)邦信息系統(tǒng)和組織供應(yīng)鏈風(fēng)險(xiǎn)管理方法(NIST SP800-161)》,用于指導(dǎo)美國聯(lián)邦政府機(jī)構(gòu)管理 ICT 供應(yīng)鏈的安全風(fēng)險(xiǎn),,包括識(shí)別,、評估和緩解 ICT 供應(yīng)鏈風(fēng)險(xiǎn)等。2020 年底爆發(fā)的“太陽風(fēng)”(SolarWinds)供應(yīng)鏈攻擊事件,,使得美國政府對供應(yīng)鏈安全的重視進(jìn)一步提升,。下表列舉了 2021 年以來其在供應(yīng)鏈安全風(fēng)險(xiǎn)管理方面的一些行動(dòng),可以看出,,步伐明顯加快,。

  表 2 美國供應(yīng)鏈安全風(fēng)險(xiǎn)管理舉措

  (二) 我國相關(guān)法規(guī)和標(biāo)準(zhǔn)日趨完善

  近年來,,我國在網(wǎng)絡(luò)安全領(lǐng)域的重要法規(guī)頻頻出臺(tái),,對供應(yīng)鏈安全的要求也多有涉及?!毒W(wǎng)絡(luò)安全法》規(guī)定了網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者的職責(zé),,包括嚴(yán)禁的行為、及時(shí)采取補(bǔ)救措施,、告知報(bào)告義務(wù),、維護(hù)的延續(xù)性等;《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全審查辦法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》針對關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全提出了要求,,包括對可能影響國家安全的設(shè)施進(jìn)行安全審查,、網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者應(yīng)配合審查并承諾避免危及供應(yīng)鏈安全的行為、安全審查時(shí)考慮供應(yīng)鏈風(fēng)險(xiǎn)方面的因素,、優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù),、與提供者簽署協(xié)議等,。

  我國在供應(yīng)鏈安全方面的標(biāo)準(zhǔn)體系也日趨完善?!缎畔踩夹g(shù) 信息技術(shù)產(chǎn)品供應(yīng)方行為安全準(zhǔn)則》(GB/T 32921-2016)從供應(yīng)商角度入手,,規(guī)定了信息技術(shù)產(chǎn)品供應(yīng)方的行為安全準(zhǔn)則;《信息安全技術(shù) ICT 供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》(GB/T 36637-2018)規(guī)定了信息通信技術(shù)(ICT)供應(yīng)鏈的安全風(fēng)險(xiǎn)管理過程和控制措施,,適用于 ICT 供方和需方,、第三方測評機(jī)構(gòu)等;國標(biāo)《信息安全技術(shù) 信息技術(shù)產(chǎn)品供應(yīng)鏈安全要求》針對關(guān)鍵信息基礎(chǔ)設(shè)施,,規(guī)定了信息技術(shù)產(chǎn)品供應(yīng)方和需求方應(yīng)滿足的供應(yīng)鏈安全要求,,該標(biāo)準(zhǔn)已完成征求意見,即將發(fā)布,;中國信息安全測評中心牽頭的國標(biāo)《信息安全技術(shù) 軟件供應(yīng)鏈安全要求》也在編制中,,將對軟件供應(yīng)鏈所涉及的相關(guān)方應(yīng)滿足的安全要求進(jìn)行規(guī)范。此外,,國內(nèi)有些標(biāo)準(zhǔn)雖并非專門針對供應(yīng)鏈安全,,但也包含一些具體要求:《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239-2019)在通用要求里,給出了產(chǎn)品采購與使用,、外包軟件開發(fā),、服務(wù)供應(yīng)商選擇等方面的要求;《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》(GB/T 31168-2014)對云服務(wù)商的供應(yīng)鏈從采購過程,、外部服務(wù)提供商,、開發(fā)商、防篡改,、組件真實(shí)性,、不被支持的系統(tǒng)組件、供應(yīng)鏈保護(hù)等方面提出了安全要求,。

  三,、對策與建議

  雖然我國已出臺(tái)了一系列針對軟件供應(yīng)鏈安全的法規(guī)和標(biāo)準(zhǔn),,但包括風(fēng)險(xiǎn)的發(fā)現(xiàn),、分析、處置,、防護(hù)等能力在內(nèi)的軟件供應(yīng)鏈安全管理水平仍有待繼續(xù)提升,。建議從三個(gè)方面開展相關(guān)工作。

 ?。ㄒ唬?政策層面

  建議國家和行業(yè)監(jiān)管部門繼續(xù)完善和制定軟件供應(yīng)鏈安全相關(guān)的政策,、標(biāo)準(zhǔn)和實(shí)施指南,建立長效工作機(jī)制,;建立國家級/行業(yè)級軟件供應(yīng)鏈安全風(fēng)險(xiǎn)分析平臺(tái),,具備系統(tǒng)化,、規(guī)模化的軟件源代碼缺陷和后門分析,、軟件漏洞分析,、開源軟件成分及風(fēng)險(xiǎn)分析等能力,及時(shí)發(fā)現(xiàn)和處置軟件供應(yīng)鏈安全風(fēng)險(xiǎn),。

 ?。ǘ?用戶層面

  建議政企用戶參照監(jiān)管要求及成功案例,明確本單位軟件供應(yīng)鏈安全管理的目標(biāo),、工作流程,、檢查內(nèi)容、責(zé)任部門等,;在采購商用現(xiàn)貨軟件時(shí),,應(yīng)充分評估供應(yīng)商的安全能力,與其簽署安全責(zé)任協(xié)議,,要求提供所使用的第三方組件/開源組件清單,,并對出現(xiàn)的安全問題提供必要的技術(shù)支持;在自行或委托第三方定制開發(fā)軟件系統(tǒng)時(shí),,應(yīng)遵循軟件安全開發(fā)生命周期管理流程,,對軟件源代碼進(jìn)行安全缺陷檢測和修復(fù),并重點(diǎn)管控開源軟件的使用,,建立開源軟件資產(chǎn)臺(tái)賬,,持續(xù)監(jiān)測和消減所使用開源軟件的安全風(fēng)險(xiǎn)。建議個(gè)人用戶及時(shí)升級軟件或打補(bǔ)丁,,開啟軟件安全保護(hù)功能,,不使用來源不明的應(yīng)用,做好賬戶密碼設(shè)置及管理,。

 ?。ㄈ?廠商層面

  建議軟件產(chǎn)品廠商提高安全責(zé)任意識(shí),嚴(yán)控產(chǎn)品安全質(zhì)量,;建立清晰的軟件供應(yīng)鏈安全策略,,明確相關(guān)的管理目標(biāo)、工作流程,、檢查內(nèi)容,、責(zé)任部門等;嚴(yán)控上游,,尤其重點(diǎn)管控開源軟件的使用,,建立開源軟件資產(chǎn)臺(tái)賬,采用開源安全治理工具,,持續(xù)監(jiān)測和消減其安全風(fēng)險(xiǎn),;嚴(yán)控自主開發(fā)代碼的質(zhì)量,,采用軟件源代碼安全分析工具,持續(xù)檢測和修復(fù)軟件源代碼中的安全缺陷和漏洞,;建立完善的產(chǎn)品漏洞響應(yīng)機(jī)制,,包括產(chǎn)品漏洞信息的收集、漏洞報(bào)告渠道的建立和維護(hù),、漏洞補(bǔ)丁的開發(fā)和發(fā)布,、客戶端漏洞應(yīng)急響應(yīng)和修復(fù)支持等。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。