软件供应链 安全白皮书 m o (2021) .c 5 b u h t i g 1 h t i g b u m o c . 5 法律声明 此报告为悬镜安全与中国信息通信研究院联合制作,报告中的文字、图片、表格等版权均为悬镜安全与中国信 息通信研究院共同所有。任何组织、个人未经悬镜安全及中国信息通信研究院授权,不得转载、更改或者以任 何方式传送、复印、派发该报告内容,违者将依法追究法律责任。转载或引用本报告内容,不得进行如下活动: 不得擅自同意他人转载、引用本报告内容。 不得引用本报告进行商业活动或商业炒作。 本报告中的信息及观点仅供参考,悬镜安全及中国信息通信研究院对本报告拥有最终解释权。 h t i g b u m o c . 5 关于悬镜安全 m o c . 5 悬 镜 安 全,DevSecOps 敏 捷 安 全 领 导 者。 由 北 京 大 学 网 络 安 全 技 术 研 究 团 队 “XMIRROR”发起创立,致力以 AI 技术赋能敏捷安全,专注于 DevSecOps 软件供应 链持续威胁一体化检测防御。核心的 DevSecOps 智适应威胁管理解决方案包括以深 度学习技术为核心的威胁建模、开源治理、风险发现、威胁模拟、检测响应等多个维 b u 度的自主创新产品及实战攻防对抗为特色的政企安全服务,为金融、电信、政务、能源、 教育等行业用户提供创新灵活的智适应安全管家解决方案。 悬镜安全官网:https://www.xmirror.cn/。 h t i g 关于中国信息通信研究院 中国信息通信研究院(以下简称“中国信通院”)始建于 1957 年,是工业和信息化 部直属科研事业单位。多年来,中国信通院始终秉持“国家高端专业智库 产业创新发 展平台”的发展定位和“厚德实学 兴业致远”的核心文化价值理念,在行业发展的重 大战略、规划、政策、标准和测试认证等方面发挥了有力支撑作用,为我国通信业跨 越式发展和信息技术产业创新壮大起到了重要推动作用。 中国信通院官网:http://www.caict.ac.cn/。 参编机构 悬镜安全 中国信息通信研究院 前言 INTRODUCTION 随着容器、微服务等新技术日新月异,开源软件成为业界主流形态,软件行业快速发展。但同 时,软件供应链也越来越趋于复杂化和多样化,软件供应链安全风险不断加剧,针对软件供应链薄 弱环节的网络攻击随之增加,软件供应链成为影响软件安全的关键因素之一。近年来,全球针对软 件供应链的安全事件频发,影响巨大,软件供应链安全已然成为一个全球性问题。如何更加全面、 高效地保障软件供应链的安全对于我国软件行业发展、数字化进程推进具有重要意义。 m o c . 5 软件供应链安全作为国家近几年新提出的网络安全理念,不再是针对软件供应链上单一环节进 行安全防护,而是针对软件供应链全链路进行安全监控防护,薄弱环节的安全预防更是重中之重。 本白皮书着重分析了软件供应链安全,梳理了软件供应链的安全现状,透过现状全面剖析软件 供应链的安全风险及面临的安全挑战,有针对性地提出如何对软件供应链的安全风险进行防范与治 理,系统阐述了软件供应链安全的防护体系及软件供应链安全的应用实践以供参考,最后白皮书结 合现在软件供应链安全的发展趋势进行了全面的分析及展望。 h t i g b u 目录 CONTENTS 1 软件供应链概述 1.1 软件供应链与传统供应链之间的共性及差异性 09 1.3 开源和云原生时代改变了传统的软件供应链 12 11 1.2 软件供应链的发展历程 m o c . 5 2 软件供应链安全现状 15 2.1 国内外软件供应链安全发展现状 2.1.1 国际软件供应链安全发展现状 2.1.2 国内软件供应链安全发展现状 2.2 软件供应链的安全挑战 b u 2.2.1 国际竞争环境加剧,软件供应链完整性遭遇挑战 ti h 2.2.2 软件开源化趋势增强,安全风险加剧 2.2.3 软件复杂度增加,软件供应链每一环节均存在风险 g 2.2.4 难以处理敏捷开发与安全成本之间的平衡 15 16 17 17 17 19 19 3 软件供应链风险分析 3.1 软件供应链风险概述 3.1.1 软件供应链风险现状 3.1.2 软件供应链风险因素分析 3.2 软件供应链的漏洞类型 3.2.1 漏洞来源类型 3.2.2 漏洞状态类型 3.3 软件供应链的攻击类型 3.3.1 预留后门 3.3.2 开发工具污染 3.3.3 升级劫持 3.3.4 捆绑下载 3.3.5 源代码污染 21 21 23 25 25 27 29 29 30 30 31 31 4 软件供应链安全治理方法 4.1 体系构建阶段 35 4.1.1 SDL 软件安全开发生命周期 35 4.1.2 DevSecOps 36 4.2 设计阶段 39 4.2.1 软件供应商风险管理流程 39 4.2.2 软件供应商评估模型 40 4.2.3 软件供应商风险管理的作用 41 4.3 编码阶段 42 4.3.1 构建详细的软件物料清单 42 4.3.2 使用基于 SCA 技术的工具 45 m o c . 5 4.4 发布运营阶段 47 4.4.1 建立成熟的应急响应机制 47 4.4.2 构建完善的运营保障工具链 5 软件供应链安全应用实践 48 5.1 可信研发运营安全能力成熟度模型 5.2 云安全共享责任模型 5.3 Grafeas 开源计划 h t i g b u 53 54 55 01 软件供应链概述 m o c . 5 h t i g b u 8 1.1 软件供应链与传统供应链之间的共性及差异性 行业内对软件供应链有多种理解,其中包括三种主流理解方式,第一种是将软件供应链单纯视为以开源组件为 主的第三方组件供应链条;第二种是将其视为软件生产过程供应链条,包括第三方组件、开发工具和开发环境 等要素;第三种是将其视为从原材料开始加工成消费者手中的最终产品并实施运营过程的全流程链条。由于前 两种理解存在不同程度的片面性,因此本白皮书中以第三种理解作为阐述基础。 传统供应链的概念可以理解为一个由各种组织、人员、技术、活动、信息和资源组成的将商品或服务从供应商 转移到消费者手中的过程,这一过程从原材料开始,将其加工成中间组件乃至最终转移到消费者手中的最终产 品。软件供应链是根据软件生命周期中一系列环节与传统供应链的相似性,由传统供应链扩展而来。 m o c . 5 b u 图 1 软件供应链生命周期 h t i g 软件供应链的生命周期包括原始组件、集成组件、软件产品及产品运营四个环节(如图 1 所示)。在软件供应 链中,原始组件是原材料,集成组件是中间组件,软件产品是交到消费者手中的商品,产品运营是为消费者提 供的服务保障产品的正常运行。因此,软件供应链可以理解为软件和系统的从生产到交付全过程,是一套自动 化、标准化及规模化的持续交付的流水线。通过设计和开发阶段,将生产完成的软件产品通过软件交付渠道从 软件供应链运输给最终用户。 原始组件、集成组件、软件产品及产品运营四部分涵盖保障软件供应链安全涉及的诸多关键安全要素,了解软 件供应链的每一个阶段及流程中出现的源代码、工具及集成组件对于构建安全可靠的软件供应链至关重要。 根据软件供应链的定义,软件供应链安全可以被理解为软件生产的整个过程中软件设计与开发的各个阶段来自 编码过程、工具、设备、供应商以及最终交付渠道所共同面临的安全问题。 对软件从业者来说,实际需要关注的是自身的软件产品开发过程和运营过程,也就是软件产品和产品运营这两 个阶段,软件供应链中的原始组件和集成组件阶段的安全问题应由相应的组件供应商解决。做个类比,假如我 们需要生产一部手机,我们需要关注的是手机生产和上市运营。在生产手机过程发生前,我们需要选择可信的 零部件供应商,从之购买合格的零部件。而并不需要接管供应商的生产流程,帮助供应商做质量管理。软件产 品阶段和产品运营阶段的加总,实际上就是传统概念中的软件生命周期。软件生命周期可以划分为 4 个主要阶 段:设计阶段、编码阶段、发布阶段、运营阶段(如图 2 所示)。这也是软件供应链安全治理中真正需要关注 的部分。 9 图 2 软件供应链生命周期与软件生命周期的关系 m o c . 5 软件供应链和传统供应链的安全性之间存在显著的共性及差异性,软件供应链与传统供应链之间的共性是攻击 者通过攻击目标供应链中较弱的组成部分,导致产业链上游被污染,大量下游厂商的产品或服务作为上游组件 的集合,产生大量潜在的攻击目标,而且基于对产品和服务的潜在信任,导致在安全问题出现时,难以彻底断 根筛查。同时,召回问题产品的代价巨大,周期漫长,显著增加了供应链攻击的影响程度。 b u 差异性是软件供应链所受到的攻击与传统供应链相比,软件攻击面的边界由产品本身扩大到软件生产过程中代 码、服务及组件的边界,导致软件供应链的受攻击面不断扩大,显著降低了攻击者攻击的难度,这就导致软件 h t i g 供应链攻击可能发生在软件供应链生命周期的任何阶段,同时更聚焦在威胁的高传播性和强隐蔽性,而非仅仅 聚焦在瞬间的破坏力上。 10 1.2 软件供应链的发展历程 1984 年,UNIX 创造者之一的 K.Thompson 在 A.M Turing Award (ACM)图灵奖的获奖演讲中提到如何通过 三步构造一个通过编译器污染所有通过此编译器编译并发布软件的攻击方式,这种攻击可以在人们难以发现的 情况下修改编译器,并在其中设置后门。基于此,一个通过攻击软件开发过程中薄弱环节的攻击方式暴露在人 们的视野中,这就是令人头疼的 Advanced Persistent Threat (APT)攻击,在著名的震网事件中,非法组织 利用震网病毒破坏世界各国的计算机系统,进而破坏国家重要的基础设施。 1995 年,软件供应链的概念出现在大众的视野中,之后在 2000 年,M.Warren 和 W.Hutchinson 提出了利用 网络攻击破坏软件供应链的可能性。 m o c . 5 2004 年,微软公司提出了著名的软件安全开发生命周期流程,这一流程将软件开发流程划分为多个阶段,并 在各个阶段中引入不同的安全措施,保障软件开发以及最终用户的安全性,并建立了漏洞发现和漏洞处理框架 机制。同时提出了多种安全测试工具以及软件发布后的相关运营管理规范,至今仍是各大企业采用处理软件开 发安全问题的重要手段之一。 b u 2010 年,R.J.Ells

pdf文档 悬镜 软件供应链安全白皮书 2021

安全报告 > 安全 > 文档预览
中文文档 62 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共62页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
悬镜  软件供应链安全白皮书 2021 第 1 页 悬镜  软件供应链安全白皮书 2021 第 2 页 悬镜  软件供应链安全白皮书 2021 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲2022-06-17 03:30:50上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。