作者簡介

中國工商銀行軟件開發(fā)中心安全團隊

一、敏態(tài)研發(fā)下的軟件供應鏈安全挑戰(zhàn)

現(xiàn)代軟件研發(fā)更加側重軟件交付的速度和可靠性，傳統(tǒng)的瀑布式軟件研發(fā)模式存在維護難、擴展性差和無法滿足快速迭代的版本要求等問題，敏態(tài)研發(fā)模式則利用迭代研發(fā)，致力于高效研發(fā)出可用的軟件，在不斷的迭代優(yōu)化中升級和完善軟件，最終交付客戶滿意的產(chǎn)品。

軟件產(chǎn)品和服務關系生產(chǎn)和生活的各個方面，軟件供應鏈安全直接影響經(jīng)濟和社會的穩(wěn)定運行，根據(jù) ReversingLabs 發(fā)布的《The State of Software Supply Chain Securtiy》，2020-2022年供應鏈攻擊呈指數(shù)及增長，惡意篡改、后門植入、和供應鏈劫持等軟件供應鏈攻擊頻發(fā)，供應鏈安全風險加劇。

敏態(tài)研發(fā)模式下軟件供應鏈面臨新的安全挑戰(zhàn)：

軟件供應鏈資產(chǎn)依賴關系復雜、透明度低。在快速且頻繁的軟件版本更新的情況下，應用程序重用代碼、軟件包和第三方供應商銷售的商業(yè)代碼包的情況越來越普遍，并且開源組件占軟件成分的絕大部分。

組件漏洞、組件后門和惡意篡改等供應鏈風險突出。軟件產(chǎn)品從上游繼承的軟件漏洞及開源組件漏洞無法避免，同時，攻擊者通過污染開發(fā)工具、劫持軟件交付鏈路等方式控制上游軟件供應鏈，在組件中植入惡意可執(zhí)行代碼快速傳播至中下游用戶。

外部法律法規(guī)和監(jiān)管要求不斷趨嚴?！毒W(wǎng)絡安全法》、《關于規(guī)范金融業(yè)開源技術應用與發(fā)展的意見》、《網(wǎng)絡安全等級保護基本要求》（GB/T 22239-2019）、《軟件供應鏈安全要求（征求意見稿）》等法律法規(guī)和標準對企業(yè)供應鏈安全管控提出了更高的要求。

軟件供應鏈資產(chǎn)依賴關系復雜、透明度低。在快速且頻繁的軟件版本更新的情況下，應用程序重用代碼、軟件包和第三方供應商銷售的商業(yè)代碼包的情況越來越普遍，并且開源組件占軟件成分的絕大部分。

展開全文

組件漏洞、組件后門和惡意篡改等供應鏈風險突出。軟件產(chǎn)品從上游繼承的軟件漏洞及開源組件漏洞無法避免，同時，攻擊者通過污染開發(fā)工具、劫持軟件交付鏈路等方式控制上游軟件供應鏈，在組件中植入惡意可執(zhí)行代碼快速傳播至中下游用戶。

外部法律法規(guī)和監(jiān)管要求不斷趨嚴?！毒W(wǎng)絡安全法》、《關于規(guī)范金融業(yè)開源技術應用與發(fā)展的意見》、《網(wǎng)絡安全等級保護基本要求》（GB/T 22239-2019）、《軟件供應鏈安全要求（征求意見稿）》等法律法規(guī)和標準對企業(yè)供應鏈安全管控提出了更高的要求。

在軟件供應鏈安全管理上，企業(yè)應依據(jù)國家、行業(yè)等各類安全合規(guī)性要求，結合企業(yè)內(nèi)部管理特點，建立企業(yè)內(nèi)部標準要求，結合實際場景構建企業(yè)軟件供應鏈安全治理體系，從統(tǒng)一制度、統(tǒng)一規(guī)劃、統(tǒng)一工具和統(tǒng)一機制等方面持續(xù)提升軟件供應鏈安全管理能力。

1、完善軟件供應鏈安全制度

制定軟件供應鏈安全管理制度，明確供應鏈安全管理的牽頭部門和各方職責，與企業(yè)內(nèi)部現(xiàn)有安全管理流程相整合，確保風險可控制、威脅可處置、治理可衡量。

從軟件引入、使用和退出的全流程制定相應的要求，并健全供應鏈軟件管理、外包管理、采購管理和研發(fā)管理等標準規(guī)范，從管理和實施層面細化和完善企業(yè)內(nèi)部要求，為有序開展供應鏈安全管理提供指導。

2、建立資產(chǎn)動態(tài)管理視圖

構建供應鏈軟件管理工具鏈，實現(xiàn)供應鏈產(chǎn)品的自動化管理。建設企業(yè)級軟件產(chǎn)品管理系統(tǒng)，將軟件成分分析工具對接研發(fā)流水線實現(xiàn)開源組件自動引入與使用登記，通過軟件黑白名單機制限制使用未經(jīng)企業(yè)許可的軟件和高風險漏洞版本的軟件。

同時，借助軟件成分分析工具生成 SPDX、CycloneDX 等標準化格式的軟件物料清單，提供組成應用的組件的清晰視圖，關注組件的漏洞情況和風險程度，快速準確追蹤漏洞軟件的使用位置和其他依賴項，幫助企業(yè)進行資產(chǎn)管理、漏洞管理和應急響應，降低企業(yè)軟件供應鏈安全風險。

3、開展軟件全生命周期風險識別

通過合同約束、安全審核、監(jiān)控處置、風險治理等安全管理手段，實現(xiàn)對供應鏈產(chǎn)品全生命周期的風險控制。

在合同約束方面，通過與供應商簽訂安全協(xié)議、合同等，要求供應商提供產(chǎn)品的物料清單和安全測評報告，明確供應鏈產(chǎn)品的安全性要求和供應商安全責任。

在安全審核方面，制定安全測評方案和審核指引，通過代碼安全檢測、已知漏洞檢測、防病毒查殺等手段開展供應鏈產(chǎn)品引入前的安全審核、日常風險評估和治理工作，確保引入源頭安全可靠。

在持續(xù)監(jiān)測方面，根據(jù)威脅情報共享機制，主動監(jiān)測外界披露的軟件供應鏈后門和惡意鏡像倉庫情報，做好威脅情報預警。

在風險治理方面，根據(jù)威脅情報，制定基礎平臺和互聯(lián)網(wǎng)應用優(yōu)先治理的差異化策略，分批次有序開展供應鏈漏洞風險治理，并通過日常紅藍對抗、滲透測試和安全眾測等手段，對已部署供應鏈產(chǎn)品及升級程序、組件和代碼進行測評。

在合同約束方面，通過與供應商簽訂安全協(xié)議、合同等，要求供應商提供產(chǎn)品的物料清單和安全測評報告，明確供應鏈產(chǎn)品的安全性要求和供應商安全責任。

在安全審核方面，制定安全測評方案和審核指引，通過代碼安全檢測、已知漏洞檢測、防病毒查殺等手段開展供應鏈產(chǎn)品引入前的安全審核、日常風險評估和治理工作，確保引入源頭安全可靠。

在持續(xù)監(jiān)測方面，根據(jù)威脅情報共享機制，主動監(jiān)測外界披露的軟件供應鏈后門和惡意鏡像倉庫情報，做好威脅情報預警。

在風險治理方面，根據(jù)威脅情報，制定基礎平臺和互聯(lián)網(wǎng)應用優(yōu)先治理的差異化策略，分批次有序開展供應鏈漏洞風險治理，并通過日常紅藍對抗、滲透測試和安全眾測等手段，對已部署供應鏈產(chǎn)品及升級程序、組件和代碼進行測評。

加強編碼測試環(huán)節(jié)、構建環(huán)節(jié)和運營環(huán)節(jié)的管理安全評估，保障敏態(tài)研發(fā)模式各環(huán)節(jié)下，軟件供應鏈產(chǎn)品的使用規(guī)范和組織管理。

在編碼測試階段，將交互式應用安全測試等工具對接代碼倉庫和鏡像倉庫，結合人工滲透提升安全測試的覆蓋度和深度，準確識別安全缺陷及漏洞，監(jiān)測應用程序中依賴的第三方軟件的版本信息和公開漏洞。

在構建交付階段，將源代碼安全掃描工具等對接研發(fā)構建流水線，掃描研發(fā)過程中使用的軟件類型和組件版本，生成構建包和容器鏡像中應用所依賴的第三方組件風險，暴露軟件制品內(nèi)潛在的安全漏洞。

在運營階段，結合主機安全掃描等能力實現(xiàn)漏洞與異常行為的及時監(jiān)測和快速處置，通過運行時應用自我保護技術將防護能力與應用程序融為一體，精準識別應用實際運行中動態(tài)加載的第三方組件及依賴，挖掘組件中潛藏的各類安全漏洞及開源協(xié)議風險，實時檢測和阻斷供應鏈攻擊。

在編碼測試階段，將交互式應用安全測試等工具對接代碼倉庫和鏡像倉庫，結合人工滲透提升安全測試的覆蓋度和深度，準確識別安全缺陷及漏洞，監(jiān)測應用程序中依賴的第三方軟件的版本信息和公開漏洞。

在構建交付階段，將源代碼安全掃描工具等對接研發(fā)構建流水線，掃描研發(fā)過程中使用的軟件類型和組件版本，生成構建包和容器鏡像中應用所依賴的第三方組件風險，暴露軟件制品內(nèi)潛在的安全漏洞。

在運營階段，結合主機安全掃描等能力實現(xiàn)漏洞與異常行為的及時監(jiān)測和快速處置，通過運行時應用自我保護技術將防護能力與應用程序融為一體，精準識別應用實際運行中動態(tài)加載的第三方組件及依賴，挖掘組件中潛藏的各類安全漏洞及開源協(xié)議風險，實時檢測和阻斷供應鏈攻擊。

在當前快速交付、靈活部署的敏態(tài)研發(fā)模式下，為應對混源開發(fā)、代碼復用和版本多變帶來的軟件供應鏈安全風險，企業(yè)可通過建設內(nèi)部統(tǒng)一的制度，進一步明確軟件的引入和使用要求；采用資產(chǎn)自動化識別工具鏈全面梳理識別應用包含的自研組件、開源軟件、外購軟件等全量軟件資產(chǎn)，形成動態(tài)更新的資產(chǎn)管理機制； 利用威脅情報和紅藍測試主動發(fā)現(xiàn)供應鏈漏洞，優(yōu)先處置高危漏洞及對外暴露應用系統(tǒng)，加強軟件供應鏈安全風險處置能力；結合 DevSecOps 全流程，將軟件供應鏈安全和敏態(tài)研發(fā)過程相結合，在研發(fā)運營的各個環(huán)節(jié)識別供應鏈安全風險等方式開展供應鏈風險管控，在快速迭代的軟件版本中最大程度降低企業(yè)內(nèi)部供應鏈安全風險。

1000+研發(fā)團隊的 BizDevOps 體系及平臺是如何建設的？407GOPS2023深圳站，中國工商銀行軟件開發(fā)中心 DevOps 團隊負責人帶你親自了解~

掃碼更精彩

頻獲表彰！中國工商銀行“數(shù)字員工”在運維領域中的實踐，出圈啦！

中國工商銀行建設代碼掃描中心，助力研發(fā)效能提升

擁抱變化 · 積極踐行！中國工商銀行 DevOps 轉(zhuǎn)型探索與實踐

“高效運維”公眾號誠邀廣大技術人員投稿

投稿郵箱：jiachen@greatops.net，或添加聯(lián)系人微信：greatops1118。