近年来,软件供应链安全事件频发,对用户隐私、财产安全乃至国家安全造成重大威胁,保障软件供应链安全成为业界关注焦点。中国信息通信研究院(以下简称“中国信通院”)作为中国可信安全和开源生态的重要力量,对软件供应链安全领域展开了长期深入的研究。
2022年6月17日,中国信通院召开首届3SCON“软件供应链安全论坛”,正式发布《软件供应链安全全景观察》,全面展示了近四年在软件供应链安全领域的工作进展以及在政策支撑、技术研究、标准制定、评估测试等多方面取得的成果。中国信通院云大所开源和软件安全部副主任(主持工作)郭雪在会上进行了详细解读。
软件供应链安全洞察解读
软件供应链愈发复杂 保障软件供应链安全已成为全球共识
数字化时代,容器、微服务、DevOps等新技术及理念的快速演进导致软件设计开发复杂度日益提升,软件供应链愈发复杂,全链路安全防护难度不断增大。郭雪表示,软件供应链安全具有攻击门槛低、隐蔽性强、影响范围广三大特点。随着软件供应链攻击事件数量持续增长,保障软件供应链安全已成为全球共识,国内及国际标准组织不断推进软件供应链安全建设。相对而言,我国仍需进一步完善软件供应链安全标准及管理工作。
中国信通院开展标准体系建设和评估 保障软件供应链全链路安全
为了推动全行业软件供应链安全发展,助力企业软件全生命周期安全管控,中国信通院自2019年起,以全链路安全保障为目标,推动制定《软件供应链安全管理能力成熟度模型》、《可信研发运营安全能力成熟度模型》、《软件物料清单建设总体框架》、《研运安全工具标准体系》多项标准,从软件供应链入口、自身、出口三个阶段多维度保障软件供应链安全,并落地评估测试。
?提高软件供应链安全管理能力,建立全链路软件供应链安全保障体系
从软件供应链管理机制、供应链上游、生产链和供应链下游四大维度对软件供应链安全指标进行明确,以提高软件供应链需方软件供应链安全管理能力,规范软件供应链需方软件供应链管理流程,并为第三方测评提供新思路。
中国信通院针对企业软件供应链安全建设展开多项测评,结果显示,大部分企业软件供应链安全建设处于初期阶段,软件供应链安全治理主要存两种实践探索路径:一种由安全部门牵头,即在软件供应链引入时进行统一安全评审,主要针对厂商提供的安全测试 告,供应商资质等内容;另一种是建立虚拟组织,即成立类似软件供应链安全治理委员会等虚拟组织,将软件供应链安全引入安全问题下放到各个项目团队进行第一层安全管控,随后由安全部门进行总收口进行第二层安全管控。
?构建覆盖研发运营全流程的安全体系标准势在必行
随着软件供应链安全风险加剧,实现主动式安全防御,构建覆盖软件应用服务全生命周期的安全体系框架势在必行。在此背景下,中国信通院牵头制定《可信研发运营安全能力成熟度模型》标准,强调安全左移,规范企业研发运营全生命周期安全体系,从源头提升软件质量,加固应用安全。
中国信通院基于此标准对国内多个企业进行严格测评,结果显示,企业研发范畴安全存在较多问题:管理制度流程层面,安全考核透明度稍有不足;研发层面,需求挖掘、编码安全及开源管控相对薄弱;运营层面,安全反馈及主动防御仍待加强。
?软件物料清单成为软件供应链安全保障的有力抓手
中国信通院针对企业软件物料清单体系建设的同时开展测评摸底工作,结果显示,大部分企业将软件物料清单信息分平台管理,暂未建立清晰完整的软件物料清单。同时,软件物料清单相关规章制度仍需进一步明确。
?完善安全工具标准体系,助力软件供应链安全落地
为避免安全风险影响研发效率,通过自动化安全工具、设备,将安全融入软件应用服务全生命周期已成为业界共识,也是实现研发运营安全的必要途径。在此背景下,中国信通院牵头制定研运安全工具标准体系,包括《静态应用程序安全测试工具(SAST)》、《交互式应用程序安全测试工具(IAST)》、《软件组成分析工具(SCA)》多项标准,从用户视角出发评估安全工具能力及性能。
据中国信通院研运安全工具测评结果显示,国内相关工具产品功能已基本完善,工具检测缺陷类型与CEW、OWASP Top10等国际及行业标准对标,CPU利用率及扫描时间等性能指标均达到基线要求。
未来中国信通院将持续完善研运安全工具标准体系,重点关注《应用运行时自我保护系统(RASP)》等内容。
持续推进研究和标准评估工作,建立3S-Lab软件供应链安全实验室
目前,中国信通院已发布《研发运营安全白皮书2020》、《软件供应链安全发展洞察 告2021》等研究 告,并联合政、产、学、研、用多方力量牵头成立3S-Lab软件供应链安全实验室,积极推进各行业软件供应链安全工作落地。
郭雪表示,未来中国信通院将持续推进软件供应链安全技术、框架等相关研究,完善软件供应链安全标准体系和系列评估。在标准建设方面,进一步完善软件供应链安全标准体系,鼓励和指导重要行业、领域加快软件供应链安全工作建设落地;在技术突破方面,进一步推进安全工具建设及使用,协议分析、软件成分分析等技术将列入重点;在生态构建方面,进一步健全供应链上下游企业自身安全管理体系,建立软件供应链安全可信生态。
软件供应链安全相关联系人:
吴江伟
18810541612(微信同 )
wujiangwei@caict.ac.cn
? END ?
重要通知
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!