6月2日,《2021中国软件供应链安全分析报告》(以下简称《报告》)发布,首次深入解读国内软件供应链各个环节的安全风险,并从监管侧、用户侧和厂商侧给出总结及建议。《报告》认为,软件供应链安全管理是一个系统工程,需要长期持续的建设。 

图:奇安信集团代码安全事业部总经理、代码安全实验室主任黄永刚

奇安信集团代码安全事业部总经理、代码安全实验室主任黄永刚通过一个生动形象的例子来说明软件供应链安全问题,“拿牛奶来说,从奶农、奶站到车间,各个环节都可能导致原材料被污染,造成食品安全问题。同样,软件供应链可划分为开发、交付、运行三个大的环节,每个环节都可能会引入供应链安全风险从而遭受攻击,上游环节的安全问题会传递到下游环节并被放大。”

黄永刚表示:“吃了不好的食品会生病,用了不好的软件会被攻击。”从《报告》数据来看,国内企业软件项目100%使用开源软件;近9成软件项目存在已知开源软件漏洞;平均每个软件项目存在66个已知开源软件漏洞,软件供应链安全面临巨大风险。

当前,我国在软件供应链安全方面的基础比较薄弱,亟需从国家、行业、机构、企业各个层面建立软件供应链安全风险的发现、分析、处置、防护能力,整体提升软件供应链安全管理水平。

《报告》建议,从国家与行业监管层面,制定软件供应链安全相关的政策要求、标准规范和实施指南,建立长效工作机制;建立国家级/行业级软件供应链安全风险分析平台,及时发现和处置安全风险;同时,在产品测评、系统测评等工作中纳入软件供应链安全的内容,针对软件的源代码、制成品、运行中的软件系统等进行软件供应链安全的测试和评估。

从软件最终用户层面,建议明确本单位内部软件供应链安全管理的目标、工作流程、检查内容、责任部门;在采购商业货架软件时,应充分评估供应商的安全能力;在自行开发软件系统或委托第三方定制开发时,应遵循软件安全开发生命周期管理流程,针对软件源代码进行安全缺陷检测和修复,同时要重点管控开源软件的使用,持续监测和消减所使用的开源软件的安全风险。

从软件厂商层面,建议提高安全责任意识,严控产品的安全质量;建立清晰的软件供应链安全策略,明确本单位内部软件供应链安全管理的目标、工作流程、检查内容、责任部门;严格管控上游,尤其重点管控开源软件的使用,建立开源软件资产台账;严控自主开发的代码质量,建议采用可融入软件开发流程的软件源代码安全分析工具;建立完善的产品漏洞响应机制。

数字化时代,软件产业的快速发展直接导致软件供应链复杂化、多元化,势必会为其安全防护带来更加艰巨的挑战。奇安信安全专家表示,针对软件供应链的攻击事件频发,治理软件供应链安全要打好团体赛,需要监管机构、软件开发厂商、供应商和用户协同,共同建立供应链安全体系。

声明:本文来自奇安信集团,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。