本文版权为《邮电设计技术》所有,如需转载请联系《邮电设计技术》编辑部
摘要:近年来,全球软件供应链安全事件频发,影响面也越来越大。软件供应链安全已成为一个全球性问题。如何更全方位、更有效地保障软件供应链的安全,对于我国软件产业的发展和数字化进程的推进具有重要意义。主要分析了国内外软件供应链的安全现状,根据现状全面分析了软件供应链的安全风险,并提出了如何防范和管理。另介绍了国际软件供应链监管和标准,软件供应链管理建议,最后对软件供应链安全的发展趋势进行了分析和展望。
关键词:软件供应链;网络与信息系统安全;供应链风险管理
doi:10.12045/j.issn.1007-3043.2022.09.006
国内外软件供应链安全现状
2019年,新型冠状病毒的肆虐从根本上改变了人们的生活和工作方式,在疫情状况下,软件供应链的安全越来越引起人们的关注。虽然国际社会已经加强软件供应链的安全性管理,但为了更好地应对软件供应链的安全风险,研究者还需详细了解软件供应链的背景和发展,为更好地发展软件供应链安全做出更大的贡献。
1.1 国际软件供应链安全发展现状
自软件供应链的概念提出以来,国际社会对软件供应链的安全性给予了高度重视。
在国家层面,出于对软件供应链的安全性和脆弱性的担忧,多年前多国便开始规划国家软件供应链的安全策略,出台了一系列相关政策和重点项目,以便加强软件供应链的安全控制。
从企业层面,开源软件作为软件供应链中最重要的部分,世界上许多知名企业都在加大对软件供应链的安全风险管理,并利用开源软件的软件构件分析技术,确保第三方开源构件的安全。
1.2 国内软件供应链安全发展现状
随着网络安全形势的发展,我国高度重视软件供应链安全。2017年6月,中国发布并实施了《网络产品和服务安全审查办法》,确保软件产品测试、交付和技术支持过程中供应链的安全,并作为重点审查内容。2020年4月27日,国家互联网信息办公室等12个部门联合发布《网络安全审查办法》,要求重点信息基础设施运营商在购买网络产品和服务时,如若可能影响国家安全,应进行网络安全审查。该政策的发布代表明确地将软件供应链安全纳入了国内公众的视野。
在企业层面,中国领先的互联网企业和安全制造商已经开始投资软件供应链的安全建设,重点确保软件供应链的安全,并充分发挥创新技术在软件供应链网络安全保障中的作用,增加软硬件安全检测分析、攻击和反渗透、源代码安全审计、漏洞挖掘、大数据分析等技术,有效保障软件供应链的安全,构建动态安全防护体系。
1.3 软件供应链的安全挑战
1.3.1 国际竞争加剧,软件供应链完整性受到挑战
软件供应链的竞争与保障不仅关系到企业的生存与发展,而且成为世界各国相互制约和竞争的重要手段。一些西方国家通过实行严格的技术封锁,建立完善的出口管制法律体系,并将自己的软件、硬件和技术列入《进口管制清单》,导致国际软件供应链的竞争环境加剧,软件供应链的完整性面临严峻挑战。同时,需要制定软件供应链战略规划,确保我国软件供应链的自主性、可控性和安全性。
1.3.2 软件开源趋势增强,安全风险加剧
开源作为创新的基础,不断推动着信息技术的深度创新发展,随着开源软件的复杂性增高,其出现安全事件的概率会呈现指数级增长。一旦出现安全问题,将会产生蝴蝶效应,软件供应链会产生非常严重的影响。例如,一个开放源代码软件具有未知的安全漏洞,它将导致所有具有相关依赖关系的软件系统中存在相同的漏洞,并且漏洞攻击面将显示从点到面的爆炸性放大效应。
2021年,Sonatype发布了“2021软件供应链状况报告”。报告数据显示,开源供应、需求和安全漏洞都呈现“爆炸性”增长。其中,开源供应增加了20%,开源需求增加了73%,开源攻击激增了650%。开源安全和依赖管理在“2021软件供应链”中占据主导地位。
1.3.3 开源漏洞在流行项目中普遍存在
据统计,29%的流行开源项目至少包含一个已知的安全漏洞,只有6.5%的非热门项目未包含已知漏洞。从臭名昭著的2017年EquifaxStruts事件可以看出,因为开源漏洞在发布后没有修补,导致此事件利用公开披露的开源漏洞进行攻击。在下一代软件供应链攻击行为中更为险恶的是,黑客不再用公开披露的漏洞来进行攻击。相反,他们采取主动,将新的漏洞注入到为全球供应链提供支持的开源项目中,然后利用这些漏洞进行攻击。下一代软件供应链攻击趋势如图1所示(图见PDF)。
