软件供应链开源化,导致影响软件全供应链的各个环节都不可避免受到开源应用的影响。尤其是开源应用的安全性问题,将直接影响采用开源应用的相应软件供应链的安全。除了开源应用开发者因疏忽导致的开源应用安全缺陷,还可能存在具有非法目的开发者故意预留的开源应用安全缺陷,甚至还有恶意攻击者伪造的含有隐藏性恶意功能的异常行为代码被故意上传到上游开源代码托管平台,实施定向软件供应链攻击。上述开源应用中存在的众多安全问题,导致软件供应链的安全隐患大大增加,安全形式更加严峻。
而现代软件应用的供应链非常复杂,软件供应链安全管理是一个系统工程,亟需从国家、行业、机构、企业各个层面建立软件供应链安全风险的发现能力、分析能力、处置能力、防护能力,整体提升软件供应链安全管理的水平。为此,需要开展全方位的软件供应链安全检测防御方法和技术研究。
第一,开展软件成分动态分析及开源应用缺陷智能检测技术研究,突破高效高准确性的开源应用安全缺陷动态检测技术的瓶颈,解决基于全代码遍历和代码片段级克隆技术比对的应用安全检测难题,进一步实现对全球开源应用的全面安全检测,从源头堵住软件供应链安全隐患的源头。
第三,建立国家级 / 行业级软件供应链安全监测与管控平台,具备系统化、规模化的软件源代码缺陷和异常行为代码分析、软件漏洞分析、开源软件成分及风险分析等关键能力,为关键基础设施、重要信息系统用户提供日常的自查服务,及时发现和处置软件供应链安全风险。
第四,严格管控软件供应链上游,尤其重点管控开源应用的使用,积极推动代码疫苗、SCA、区块链和 SBOM 等新技术和标准在软件供应链安全领域的推广和应用,从根本上提供软件供应链安全的可靠保障。
本白皮书在第一章介绍了软件供应链安全的发展背景,从政策法规驱动和行业标准规范等维度,对软件供应链的重要性进行了详述;在软件供应链安全现状章节详述了近年以来的软件供应链安全相关事件,迄今为止算是比较详细地将此类事件做了总结,并针对三个典型事件进行了剖析,通过系统性整理、分析和研究,归纳总结了软件供应链风险的8项典型特征;同时延展了软件供应链安全的风险。
软件供应链安全是保障系统软件安全的关键因素,软件供应链安全的治理需要所有从业者从理念上提高意识;在技术上需要同行共同潜心研发,突破卡脖子技术;加强能力共享,共同推进软件供应链安全公共基础设施建设。白皮书旨在希望能推动行业共识,促进软件供应链安全的健康发展。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!