什么是软件供应链
当下的软件供应链和传统的供应链有何区别?传统供应链是指商品到达消费者手中之前各种链接或业务的衔接(商品、消费者、渠道),从原始采购开始,制成中间产品以及最终产品,通过销售网络到达最终用户进行使用的整体网链结构。而软件供应链是指软件从软件供应商到达用户手中并被使用的整个过程相关的环节及开展的活动(软件生产、运营者、渠道、监管方),覆盖从软件开发、编码、软件生成、软件分发(用户下载)到用户使用的整个生命周期。
软件供应链安全现状与痛点
近年来,软件供应链安全事件频发,对于用户隐私、财产安全乃至国家安全造成重大威胁。Gartner预测,到2025年全球45%的企业机构将遭遇软件供应链攻击,相比2021年增加了3倍。软件供应链安全直接关系着关键信息基础设施和重要信息系统的安全,保障软件供应链安全成为业界关注焦点和共同目标。
对软件的需方(采购方)企业而言,围绕软件供应链安全需求的最大痛点是如何能够快捷并且深入地检测供方交付的软件的安全质量并且梳理出交付软件的供应链资产清单,在软件交付环节真正实现安全性验收,保障围绕该软件的相关业务能够安全稳定运行。
目前市面上传统的安全检测方式主要集中在采用渗透测试、代码审计服务,或者采用漏洞扫描器或白盒代码扫描器对交付物进行黑白盒态的安全扫描。这类传统的安全验收方式所能覆盖的检测场景和检测能力有限,并且无法生成交付软件的供应链资产台账(基础服务资产、API资产、三方云服务资产、三方组件资产、漏洞清单、敏感数据信息等)。需方没有有效技术手段了解对交付软件的依赖情况,导致后续的供应链事件爆发时的应急被动。
同时,传统的安全验收方式对于云原生、物联网等新型应用场景无法提供更细粒度的安全检测能力(如IaC扫描、API安全检测等),更无法支撑甲方企业在自研、外包、外采等数字化系统建设模式下对软件供应链安全层面的管理要求,使得甲方企业缺少针对增量和存量的业务系统进行软件供应链风险排查的技术抓手。
安全419了解到,默安科技的软件供应链安全检查工具箱将有效应对上述传统安全测试及验收方式在安全防护体系架构上的不足,该工具围绕软件供应链安全需求,形成完整的软件供应链资产清单以及软件供应链知识图谱,有效保障企业相关业务的安全稳定运行。
1、安全检查工具箱是什么
默安科技软件供应链安全检查工具箱是一个基于知识图谱和威胁情报的软件供应链安全风险检测和分析技术,从源头管控软件系统风险的平台。面向软件供应链安全治理先行行业,提供软件供应链安全风险评价指标和技术检测手段,通过自动化软件图谱信息采集和日常化软件成分风险检测,提升软件供应链的透明度,实现风险可追溯性,为软件供应链安全治理提供技术抓手。
2、安全检查工具箱具有哪些功能
(1)深入的软件成分风险分析
对源码、软件安装包、测试环境进行软件成分风险分析,对直接引用的、完全自研的、引用修改的软件组件名称版本进行识别并提示,对组件风险进行检测告警,可视化展示软件成分风险等级、版本状态、开源许可证等信息。
(2)完整的软件资产图谱清单
根据开源组件分析、基础服务分析、三方云服务以及应用代码分析的检测结果构建供应链安全知识图谱,涵盖三方组件依赖、组件版本、组件漏洞风险、组件法律风险、三方云服务信息、敏感数据信息、API接口信息等,基于资产图谱可以进行漏洞定位和快速应急处置。
(3)灰白盒态的应用安全风险检测
可以全面评估软件成分中的三方基础服务的漏洞风险、三方组件的漏洞、云服务接口调用风险、开源许可、数据跨境等各类风险,同时检测无需查看软件源码,可避免因代码审计造成的核心代码泄露风险。
3、安全检查工具箱适用于哪些场景
目前安全检查工具箱在不同业务场景下形成了一些可落地的解决方案,例如关基单位软件供应链安全检测及应急联动方案、自研及外采数字化转型软件供应链风险一站式摸排解决方案、政府行业软件供应链安全检查方案等。
(1)关基单位软件供应链安全检测及应急联动方案
以外包为主自研为辅的关基单位集团,通过工具箱可以开展软件供应链安全准入检测和软件供应链漏洞的紧急应急响应,建立一套上下级联动的供应链安全管理的机制。
在软件供应链安全准入检测方面,对于集团统推业务,集团制定安全检查标准,借助工具箱对统一采购的软件应用进行供应链准入安全测试,形成初步的软件供应链资产清单,包括三方组件、基础服务、三方云服务、API 资产、应用漏洞等软件成分清单,二级公司在软件部署好后将 IP、域名、位置等与软件相关的IT资产信息作为补充, 最终形成完整的软件供应链资产清单。在软件供应链漏洞的紧急应急响应方面,工具箱梳理形成软件供应链知识图谱,基于图谱可以快速定位哪些软件的哪些组件受到影响,所属单位是哪个,通过原有的二级通报流程定向通报给下级单位,同时通过平台化的工具箱,向二级单位工具箱下发漏洞验证POC插件,二级单位能够借助图谱定位信息和POC进行自动化漏洞可利用性验证。
(2)自研及外采数字化转型软件供应链风险一站式摸排解决方案
针对自研外采数字化转型企业,将工具箱的应用安全检测能力灵活融合到自研和外采两种场景中,帮助数字化转型企业在应用快速迭代的过程中同步实现安全的敏捷化,依托平台对自研外采数字化转型软件供应链风险进行一站式摸排。在自研、外采占比相当的数字化转型企业,会部署完整的DevOps 流水线,具备安全左移的先决条件,因此,除了借助工具箱建立一个软件供应链风险评估中台,在准入环节进行供应链安全检查之外,将工具箱部署到开发环境中,将工具箱的检测能力集成到现有的流水线中,在开发阶段就能帮助研发发现组件风险和软件漏洞,最大程度减少上线前的漏洞以及漏洞的修复路径和成本。
(3)政府行业软件供应链安全检查方案
政府行业的软件开发特点是基本为外包,并且政府单位不具备代码层面的安全验收能力,因此政府信息安全管理中心、省市大数据局等安全监管能力的单位会承担软件供应链安全准入的监管职责,以工具箱为技术抓手,制定检查标准、指导规范,针对软件供应商的开发过程、开发环境、交付物的安全开展现场评估检查。通过软件供应链安全检查工具箱,从安全机制、软件成分、软件安全性、SBOM、安全责任、应急响应等六大评估维度对供应商开展软件供应链安全风险评估。政府单位依据评估结果,一是优化原有的供应商准入标准,二是建立供应商准入黑白名单。