导读:
《软件供应链安全白皮书(2021)》着重梳理了软件供应链的安全现状,透过现状全面剖析软件供应链的安全风险及面临的安全挑战,有针对性的提出如何对软件供应链的安全风险进行防范与治理,系统阐述了软件供应链安全的防护体系及软件供应链安全的应用实践以供参考。
-
软件供应链概述 -
软件供应链安全现状 -
软件供应链风险分析 -
软件供应链安全治理方法 -
软件供应链安全应用实践
白皮书目录
白皮书对供应链安全相关政策合规要求现状做了解读:
随着网络安全形势的不断变化发展,在严峻的网络安全环境下,我国对软件供应链安全给予了高度的重视。2017 年 6 月,我国发布实施《网络产品和服务安全审查办法》,将软件产品测试、交付、技术支持过程中的供应链安全风险作为重点审查内容,并推动开展了云计算服务网络安全审查。
在 2020 年 4 月 27 日,国家互联网信息办公室等 12 个部门联合发布了《网络安全审查办法》,要求关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查,此政策的发布代表已明确将软件供应链安全带入到国内大众的视野中。
我国针对开源软件的发展也已出台了相关政策,特别是 2021 年在中国《“十四五”规划和二零三五年远景目标纲要》文件中,明确提出“支持数字技术开源社区等创新联合体发展,完善开源知识产权和法律体系,鼓励企业开放软件源代码、硬件设计和应用服务”,这是开源首次被写入国家总体规划纲要之中。
有观点认为,造成网络安全事件的主要原因之一是由于软件开发者在开发过程中对开发工具、 开发团队、开发生命周期和软件产品自身管理不当,致使软件存在着安全缺陷,破坏或影响最终用户的信息安全。白皮书分别从体系构建、设计、编码和发布运营四个阶段进行分析。首次公开了在软件生命周期的设计阶段,软件供应商风险管理流程与评估模型,同时重点强调了在编码阶段SBOM(软件物料清单)对缺陷管理的重要作用。
图:软件供应商评估模型
白皮书指出,根据软件供应链的定义,软件供应链安全可以被理解为软件生产的整个过程中软件设计与开发的各个阶段来自编码过程、工具、设备、供应商以及最终交付渠道所共同面临的安全问题。
对软件从业者来说,实际需要关注的是自身的软件产品开发过程和运营过程,也就是软件产品和产品运营这两个阶段,软件供应链中的原始组件和集成组件阶段的安全问题应由相应的组件供应商解决。
做个类比,假如我们需要生产一部手机,我们需要关注的是手机生产和上市运营。在生产手机过程发生前,我们需要选择可信的零部件供应商,从之购买合格的零部件,而并不需要接管供应商的生产流程,帮助供应商做质量管理。软件产 =品阶段和产品运营阶段的加总,实际上就是传统概念中的软件生命周期。软件生命周期可以划分为 4 个主要阶段:设计阶段、编码阶段、发布阶段、运营阶段(如图 2 所示)。这也是软件供应链安全治理中真正需要关注的部分。
图:软件供应链漏洞类型
由于互联网信息技术产业的高速发展和软件开发需求的急速扩增,导致软件开发的难度与复杂程度不断加大, 软件开发生命周期中的每一个环节都存在引入漏洞的可能性,导致软件供应链的安全风险无处不在,非法攻击者一旦对软件供应链中的任意环节进行攻击、篡改等,都将会引起最终软件供应链安全风险的连锁反应,产生巨大的安全危害。
值得一提的是,白皮书从实践案例的解读,为我们展示了三种软件供应链安全应用实践模型。还有很多结论性和指导性内容,欢迎扫码领取完整《软件供应链安全白皮书(2021)》白皮书:
评论