北京邮电大学崔宝江：软件供应链安全面临软件开源化的挑战

■ 北京邮电大学网络空间安全学院  崔宝江

随着信息化社会的不断发展，信息系统愈发离不开软件的支撑。软件的开源化趋势成为主流，导致开源软件成为软件开发者开发代码的重要来源，也导致大数据平台、云计算平台等新型信息平台往往采用开源软件进行构建。开源软件成为软件供应链的重要环节后，将成为软件供应链安全的重大隐患来源。从技术层面增强对软件供应链安全的检测和防范，并从国家层面制定有效防范策略，将成为未来面对软件供应链安全威胁的有效防范之道。

一、软件开源化的趋势，造就软件供应链的开源化

随着Github、sourceforge等开源网站成为软件开发人员进行代码分享和代码托管的首选之地，众多软件开发人员在对代码功能有需求之前，往往先从开源软件网站查找可用的功能相同或相似的软件代码，作为软件开发的基础或重要参考。系统软件代码、应用软件代码和设备固件代码部分或全部的开源化，导致支撑软件开发、编译和测试的整个软件供应链呈现了越来越多的开源化趋势。软件供应链部分或全面的开源化，也导致了软件供应链的各个环节暴露在众多安全技术人员直面之下。

二、软件供应链开源化造成软件供应链安全问题开始呈现

软件供应链开源化，导致影响软件全供应链的各个环节都不可避免受到开源软件的影响。尤其是开源软件的安全性问题，将直接影响采用开源软件的相应软件供应链的安全。除了开源软件开发者因疏忽导致的开源软件安全缺陷，还可能存在具有非法目的开发者故意预留的开源软件安全缺陷，甚至还有恶意攻击者伪造的含有隐藏性恶意功能的开源软件被故意上传到开源软件网站，试图以假乱真，引诱开源软件开发者使用这些存在恶意功能的伪造的开源软件。上述开源软件中存在的众多安全问题，导致软件供应链的安全隐患大大增加，安全问题更加突出。

三、软件供应链的安全威胁导致软件全生命周期存在永远无法消除的安全隐患

一旦软件中一个供应链环节使用了含有安全缺陷的开源软件，并且被编译为可执行代码后，由于代码使用者无法修改这些含有安全缺陷的可执行软件，导致软件供应链的这个环节永远存在无法消除的安全威胁和隐患。并且，开源化软件的软件模块或软件组件中，一旦存在有意或无意引入的安全缺陷，这些安全缺陷将随着开源软件的不断被使用和扩散传播，将呈现雪崩式的传播特点，更多地影响众多软件供应链环节的安全。源代码层面的安全缺陷，一旦被开发系统和应用软件以及设备固件的开发人员使用，将造成软件全生命周期中永远无法消除的安全隐患。它的影响深远，持续时间长久，没有有效的应对之策，除了从源头开展有效的防范和检测，否则别无他法，难以进行全面防范。正所谓蝼蚁虽小，可食物象也。

四、软件供应链安全的技术防范之道

因软件开源化，导致软件供应链面临更多开源代码带来的安全威胁。为此，需要开展全方位的软件供应链安全防护方法和技术研究。

第一，开展开源软件安全缺陷智能化自动检测技术的研究，突破高效高准确性的开源软件安全缺陷动态检测技术的瓶颈，解决基于全代码遍历的软件安全检测难题，进一步实现对全球开源软件的全面安全检测，从源头堵住软件供应链安全隐患的源头。

第二，建立全球开源软件的传播态势感知和预警机制，攻克软件供应链中软件来源电子标签技术，实现对供应链各环节中软件来源的溯源机制。通过电子标签技术监控开源软件的使用传播和分布部署态势，全面把握有缺陷的开源软件传播和使用渠道，实现对全球开源软件及其安全缺陷的预测预警。

第三，对于开源软件网站的维护者或所有者，有义务和责任提升网站中开源软件源代码的防篡改防伪造技术的防护水平，并且进行深入的网站安全监控，通过开源软件HASH等技术，防护开源软件被恶意地伪造和篡改。

第四，积极推动区块链等新技术在软件供应链安全领域的推广和应用，利用区块链的安全可信机制，将软件供应链中各个环节基于区块链技术实现不可篡改不可伪造，从而从根本上提供软件供应链安全的可靠保障。

五、面向软件供应链安全的国家层面应对之策

除了从技术层面提升软件供应链安全水平，也要从国家层面开展布局和策划。一方面，有必要建立全球开源软件的安全监控机制和评测体系，监控影响软件供应链安全各个环节中开源软件的来源，以及开源软件安全性缺陷的传播态势，有效评测影响软件供应链安全的核心环节。另一方面，有必要积极鼓励和引导国内企事业单位开展软件供应链安全技术探索和突破，推动创新型企业的技术提升，解决软件供应链安全的检测和防护难题，引导软件全供应链安全产业的落地和发展。

综上所述，在软件开源化的趋势下，软件供应链安全面临严峻的威胁和挑战，一方面从技术层面提升软件供应链安全防护水平，另一方面也要建立国家层面的软件供应链安全监管评测体系，才能有效应对软件供应链面临的安全问题。

（本文刊登于《中国信息安全》杂志2018年第11期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。