建構安全防護體系 有效應對軟體供應鍊攻擊

什麼是軟體供應鍊

當下的軟體供應鍊和傳統的供應鍊有何差別？傳統供應鍊是指商品到達消費者手中之前各種連結或業務的銜接（商品、消費者、管道），從原始采購開始，制成中間産品以及最終産品，通過銷售網絡到達最終使用者進行使用的整體網鍊結構。而軟體供應鍊是指軟體從軟體供應商到達使用者手中并被使用的整個過程相關的環節及開展的活動（軟體生産、營運者、管道、監管方），覆寫從軟體開發、編碼、軟體生成、軟體分發（使用者下載下傳）到使用者使用的整個生命周期。

軟體供應鍊安全現狀與痛點

近年來，軟體供應鍊安全事件頻發，對于使用者隐私、财産安全乃至國家安全造成重大威脅。Gartner預測，到2025年全球45%的企業機構将遭遇軟體供應鍊攻擊，相比2021年增加了3倍。軟體供應鍊安全直接關系着關鍵資訊基礎設施和重要資訊系統的安全，保障軟體供應鍊安全成為業界關注焦點和共同目标。

對軟體的需方（采購方）企業而言，圍繞軟體供應鍊安全需求的最大痛點是如何能夠快捷并且深入地檢測供方傳遞的軟體的安全品質并且梳理出傳遞軟體的供應鍊資産清單，在軟體傳遞環節真正實作安全性驗收，保障圍繞該軟體的相關業務能夠安全穩定運作。

目前市面上傳統的安全檢測方式主要集中在采用滲透測試、代碼審計服務，或者采用漏洞掃描器或白盒代碼掃描器對傳遞物進行黑白盒态的安全掃描。這類傳統的安全驗收方式所能覆寫的檢測場景和檢測能力有限，并且無法生成傳遞軟體的供應鍊資産台賬（基礎服務資産、API資産、三方雲服務資産、三方元件資産、漏洞清單、敏感資料資訊等）。需方沒有有效技術手段了解對傳遞軟體的依賴情況，導緻後續的供應鍊事件爆發時的應急被動。

同時，傳統的安全驗收方式對于雲原生、物聯網等新型應用場景無法提供更細粒度的安全檢測能力（如IaC掃描、API安全檢測等），更無法支撐甲方企業在自研、外包、外采等數字化系統建設模式下對軟體供應鍊安全層面的管理要求，使得甲方企業缺少針對增量和存量的業務系統進行軟體供應鍊風險排查的技術抓手。

安全419了解到，默安科技的軟體供應鍊安全檢查工具箱将有效應對上述傳統安全測試及驗收方式在安全防護體系架構上的不足，該工具圍繞軟體供應鍊安全需求，形成完整的軟體供應鍊資産清單以及軟體供應鍊知識圖譜，有效保障企業相關業務的安全穩定運作。

1、安全檢查工具箱是什麼

默安科技軟體供應鍊安全檢查工具箱是一個基于知識圖譜和威脅情報的軟體供應鍊安全風險檢測和分析技術，從源頭管控軟體系統風險的平台。面向軟體供應鍊安全治理先行行業，提供軟體供應鍊安全風險評價名額和技術檢測手段，通過自動化軟體圖譜資訊采集和日常化軟體成分風險檢測，提升軟體供應鍊的透明度，實作風險可追溯性，為軟體供應鍊安全治理提供技術抓手。

2、安全檢查工具箱具有哪些功能

（1）深入的軟體成分風險分析

對源碼、軟體安裝包、測試環境進行軟體成分風險分析，對直接引用的、完全自研的、引用修改的軟體元件名稱版本進行識别并提示，對元件風險進行檢測告警，可視化展示軟體成分風險等級、版本狀态、開源許可證等資訊。

（2）完整的軟體資産圖譜清單

根據開源元件分析、基礎服務分析、三方雲服務以及應用代碼分析的檢測結果建構供應鍊安全知識圖譜，涵蓋三方元件依賴、元件版本、元件漏洞風險、元件法律風險、三方雲服務資訊、敏感資料資訊、API接口資訊等，基于資産圖譜可以進行漏洞定位和快速應急處置。

（3）灰白盒态的應用安全風險檢測

可以全面評估軟體成分中的三方基礎服務的漏洞風險、三方元件的漏洞、雲服務接口調用風險、開源許可、資料跨境等各類風險，同時檢測無需檢視軟體源碼，可避免因代碼審計造成的核心代碼洩露風險。

3、安全檢查工具箱适用于哪些場景

目前安全檢查工具箱在不同業務場景下形成了一些可落地的解決方案，例如關基機關軟體供應鍊安全檢測及應急關聯方案、自研及外采數字化轉型軟體供應鍊風險一站式摸排解決方案、政府行業軟體供應鍊安全檢查方案等。

（1）關基機關軟體供應鍊安全檢測及應急關聯方案

以外包為主自研為輔的關基機關集團，通過工具箱可以開展軟體供應鍊安全準入檢測和軟體供應鍊漏洞的緊急應急響應，建立一套上下級關聯的供應鍊安全管理的機制。

在軟體供應鍊安全準入檢測方面，對于集團統推業務，集團制定安全檢查标準，借助工具箱對統一采購的軟體應用進行供應鍊準入安全測試，形成初步的軟體供應鍊資産清單，包括三方元件、基礎服務、三方雲服務、API 資産、應用漏洞等軟體成厘清單，二級公司在軟體部署好後将 IP、域名、位置等與軟體相關的IT資産資訊作為補充， 最終形成完整的軟體供應鍊資産清單。在軟體供應鍊漏洞的緊急應急響應方面，工具箱梳理形成軟體供應鍊知識圖譜，基于圖譜可以快速定位哪些軟體的哪些元件受到影響，所屬機關是哪個，通過原有的二級通報流程定向通報給下級機關，同時通過平台化的工具箱，向二級機關工具箱下發漏洞驗證POC插件，二級機關能夠借助圖譜定位資訊和POC進行自動化漏洞可利用性驗證。

（2）自研及外采數字化轉型軟體供應鍊風險一站式摸排解決方案

針對自研外采數字化轉型企業，将工具箱的應用安全檢測能力靈活融合到自研和外采兩種場景中，幫助數字化轉型企業在應用快速疊代的過程中同步實作安全的靈活化，依托平台對自研外采數字化轉型軟體供應鍊風險進行一站式摸排。在自研、外采占比相當的數字化轉型企業，會部署完整的DevOps 流水線，具備安全左移的先決條件，是以，除了借助工具箱建立一個軟體供應鍊風險評估中台，在準入環節進行供應鍊安全檢查之外，将工具箱部署到開發環境中，将工具箱的檢測能力內建到現有的流水線中，在開發階段就能幫助研發發現元件風險和軟體漏洞，最大程度減少上線前的漏洞以及漏洞的修複路徑和成本。

（3）政府行業軟體供應鍊安全檢查方案

政府行業的軟體開發特點是基本為外包，并且政府機關不具備代碼層面的安全驗收能力，是以政府資訊安全管理中心、省市大資料局等安全監管能力的機關會承擔軟體供應鍊安全準入的監管職責，以工具箱為技術抓手，制定檢查标準、指導規範，針對軟體供應商的開發過程、開發環境、傳遞物的安全開展現場評估檢查。通過軟體供應鍊安全檢查工具箱，從安全機制、軟體成分、軟體安全性、SBOM、安全責任、應急響應等六大評估次元對供應商開展軟體供應鍊安全風險評估。政府機關依據評估結果，一是優化原有的供應商準入标準，二是建立供應商準入黑白名單。