软件供应链安全目前已经成为一个全球性难题。自2021年底以来，Apache Log4j存在“核弹级”风险并爆发，至今仍然对软件供应链安全产生影响，成为业界关注的焦点。然而，过去的两年时间里，软件供应链的安全问题似乎并未得到解决。安全事件层出不穷，开源漏洞的风险与日俱增。Venafi调查了来自全球不同企业的1000位CIO，结果显示82%的人表示他们的组织容易成为针对软件供应链的网络攻击目标。根据奇安信发布的《2023年中国软件供应链安全分析报告》显示，开源项目的维护者对安全问题的关注程度和解决主动性普遍较为不高。在安全漏洞出现时，那些长时间没有更新过版本的开源软件可能无法及时修复。为什么软件供应链安全问题如此重要，但解决起来却如此困难，使得人人都知道这个问题？软件供应链安全与开源紧密相关，要弄清楚软件供应链安全的关键问题，首先需要搞清楚它的含义。根据中国信通院的说法，软件供应链安全指的是软件在设计与开发的各个阶段中，来自编码过程、工具、设备或供应链上游的代码、模块和服务的安全，以及软件交付渠道和使用过程的综合安全。这里将软件供应链安全分为两部分，一是软件本身的供应链安全，二是软件供应链接口的安全管理。软件供应链是指应用程序代码的来源，主要包括两部分：一是由产品研发团队自主编写的代码，另一部分是引入的第三方开源组件的代码。针对这两者进行安全检测也是我们所说的开发安全的一部分。软件供应链交接的接口，针对的是开源软件或者商业购买的第三方软件。供应链安全管理的这一方面主要涉及到在交付和使用阶段进行相应的准入检验，并制定可以追溯的标准化软件物料清单。实际上，软件供应链的安全重要性不断提升，而开源也是一个重要的趋势，二者密不可分。软件开源化的趋势是一个逐渐积累的过程，历经了十多年的发展，已经从数量上的变化逐渐走向影响力上的重大转变。如今，全球的开发人员几乎都依赖于开源组件来进行应用程序的研发，绝大多数当代代码库都集成了开源组件。然而，开源的繁荣是建立在一系列自由许可协议和免责条款的基础上的。这些条款包括风险免责条款，意味着在开源社区中，使用者需要自行承担风险。这已成为开源社区的共识。近年来，开源软件的安全状况不断恶化，企业在使用开源软件进行软件开发时，安全风险也越来越严重，比如：使用危险的开源组件、引入自身代码缺陷漏洞、引入容器镜像漏洞等。这些风险导致了软件系统的整体安全防护难度逐渐增加。因此，治理开源软件供应链安全风险是一项任重道远的任务。尽管业界普遍认识到软件供应链安全的重要性，但治理仍然面临诸多挑战。刘天勇，腾讯安全安全专家，指出软件供应链安全治理的难点可以从技术角度分为三个方面：第一个方面是检测门槛很高。开源组件的产生源自多方面复杂因素，很难只靠单一技术手段实现完全涵盖。常见的开源组件检测技术通常使用基于源代码的SCA分析，然而，基于源码的SCA技术难以覆盖软件供应链交接界面中的第三方软件成品。修复成本高是第二个问题。在企业开始实施开源组件的风险管理时，通常会发现存量业务存在许多漏洞。然而，这些业务大多数已经处于上线运营阶段，修复这些漏洞需要大量的研发资源，同时也会对安全团队形成较大的阻力。第三点是攻击的影响范围很广。使用第三方开源组件会间接增加软件的被攻击的可能性，这是因为对上游供应链环节的漏洞挖掘和恶意利用，可以快速影响大量的下游软件。同时，这类攻击具有很高的隐蔽性，使得常见的安全检测手段难以全面防御。目前，软件供应链攻击已经成为攻防演练中非常常见的攻击手段。另外，供应商对产品安全性的重视不够，并且开发人员的安全开发能力有限，这导致了第三方供应商产品安全质量的不稳定，也增加了软件供应链安全治理的难度。那么，公司应该如何应对这些挑战呢？这个问题是否有相应的技术解决方案？目前，SCA（软件组件分析）和SBOM是主要用于检测开源组件风险的方法。SCA是业界主要采用的解决方案。SCA指的是一种工具，它可以分析源代码，识别其中引用的开源组件信息（名称、版本、校验值）、组件漏洞以及开源协议等内容。这些信息有助于开发人员和安全人员迅速识别企业代码中潜在的开源风险。随着供应链安全日益受到关注，SCA工具加强了对组件漏洞和安全风险的深入分析和管理，成为企业生成SBOM和管理开源使用的重要方法之一。最近有一项Linux基金会的调查表明，对于软件组成部分清单（SBOM）的认识度很高，目前有47%的 IT供应商、服务提供商和受监管的行业正在采用这种方法。同时，88%的受访者预计到2023年会开始使用SBOM。在保护软件供应链方面，代码扫描和渗透测试是至关重要的。由于应用程序安全问题是其中的核心，传统的应用程序安全代码扫描工具在解决方案中扮演着重要角色。通过使用静态应用程序安全测试(SAST)、动态应用程序安全测试(DAST)、交互式应用程序安全测试(IAST)和运行时应用程序扫描保护(RASP)工具，以及明智地运用渗透测试，可以帮助企业测试其内部代码，并对第三方代码进行进一步检查，从而有效的应对风险。这些措施可作为企业安全的后盾。与SCA和SBOM产品依赖于已知的、先前发现的漏洞相比，彻底的应用程序渗透评估可能会在检查第三方库和框架时发现更多的脆弱代码使用情况，这些代码可能以前没有被其他地方报道过。除此之外，共享机密扫描和管理也正在迅速从独立的工具种类转变为一个功能，该功能正在与软件供应链安全工具的各个方面融合。在软件开发和实际运行中，网络攻击者仍然频繁针对嵌入在源代码、配置文件和基础设施代码中的敏感数据展开攻击，这个问题亟待解决。另外，需要特别关注软件供应链安全治理的重点包括依赖关系管理和分析、受信任的存储库和注册中心、安全代码签名、CI/CD管道安全性、第三方风险管理平台、IaC安全以及CNAPP。正如应用安全分析师兼Gartner公司高级主管戴尔·加德纳所强调的那样，关注供应链安全不仅仅关乎使用SCA和SBOM等工具，这些仅仅是解决方案中重要的一部分，而且它们并不能解决问题的全部。软件供应链的安全管理不仅仅是技术问题，实际上，它涉及到人、流程和知识，而不仅仅是技术层面的问题。在处理软件开发过程中的供应链安全问题时，需要考虑供应链安全风险与SDLC（软件开发生命周期）的结合。因此，谷歌提出了SLSA（软件工件供应链级别）框架，微软则提出了SCIM（供应链完整性模型）框架，CNCF（云原生计算基金会）提出了软件供应链最佳实践。这三种框架都强调了源代码、第三方依赖、构建系统、制品、发布和部署的安全性。以SLSA框架为例，SLSA是一个用来减轻软件项目中代码和软件包供应链风险的标准清单和控制框架。SLSA框架根据源码、构建和依赖三个方面对软件供应链的安全等级进行评估。这四个等级分别是：Level 1：构建过程完全脚本化或自动化，并能通过结果识别源码来源；Level 2：使用有身份认证能力的版本控制和托管服务，确保构建来源可信；Level 3：源码和构建平台符合可审计标准，并保证成品的完整性；Level 4：所有变更都经过双人评审，并具备封闭的、可重复的构建过程。以Level 4级别的要求为例，在软件构建过程中企业需要执行以下4个步骤：具有验证功能的版本控制、两人审核、安全的自动化构建流程/环境、可重复进行构建的步骤。每个环节的安全问题都可能被黑客利用来进行攻击九游app。蚁穴虽小，却能毁坏千里堤坝；要把住软件供应链的每一个关口，别让微小漏洞变成无法抵挡的洪水。在软件供应链安全治理方面，需要打好“团体赛”，并拉响警报以开启开源“新风潮”。2023年的三大网络安全威胁必须引起重视。网络安全是“广阔天地大有作为”，但也存在亟需弥补的弱点。【科技云报道原创】转载请注明“科技云报道”并附本文链接

九游登录