“吃了不好的食品会生病,用了不好的软件会被攻击”,奇安信集团代码安全事业部总经理、代码安全实验室主任黄永刚举了一个形象的例子。“拿牛奶来说,从奶农、奶站到车间,各个环节都可能导致原材料被污染,造成食品安全问题。同样,软件供应链可划分为开发、交付、运行三个大的环节,每个环节都可能会引入供应链安全风险从而遭受攻击,上游环节的安全问题会传递到下游环节并被放大。”
每 1000 行代码就有超过 10 个安全缺陷
源代码是软件的原始形态,位于软件供应链的源头。源代码安全是软件供应链安全的基础,其地位非常关键。
与此同时,开源软件的漏洞数量仍呈高速上涨的趋势。据奇安信代码安全实验室监测与统计,截至 2020 年底,CVE/NVD、CNNVD、CNVD 等公开漏洞库中共收录开源软件相关漏洞 41342 个,其中 5366 个为 2020 年度新增漏洞。
奇安信:三层建议助力建设供应链安全良性生态
告认为,软件供应链已经成为 络空间攻防对抗的焦点,直接影响关键基础设施和重要信息系统安全。然而,目前我国在软件供应链安全方面的基础比较薄弱,亟需从国家、行业、机构、企业各个层面建立软件供应链安全风险的发现能力、分析能力、处置能力、防护能力,整体提升软件供应链安全管理的水平。
对此,奇安信代码安全实验室建议:
在国家和行业监管层面,应制定软件供应链安全相关的政策要求、标准规范和实施指南,建立起国家级/行业级软件供应链安全风险分析平台,并且将软件供应链安全的相关工作纳入产品测评、系统测评等工作中。
在最终用户层面,首先应明确本单位内部软件供应链安全管理的目标和工作流程;在采购商业软件时,应充分评估供应商的安全能力,要求供应商提供其软件产品中所使用的第三方组件/开源组件的清单,一旦这些第三方组件/开源组件出现安全漏洞,要求供应商提供必要的技术支持;在软件开发中,须严格遵循软件安全开发生命周期管理流程。
在软件厂商层面,需要提高安全责任意识,建立清晰的软件供应链安全策略,严格管控上下游,持续削减自主开发的代码和开源软件所带来的安全风险,同时建立完善的产品漏洞响应机制,必须要时为客户提供相应的技术支持。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!