從主流安全開發(fā)框架看軟件供應(yīng)鏈安全保障的落地

從主流平安開發(fā)框架看軟件供應(yīng)鏈平安保障的落地從SolarWinds攻擊到Log4j漏洞，再到近期以反戰(zhàn)名義對(duì)開源軟件供應(yīng)鏈投毒事件，軟件供應(yīng)鏈平安問題愈演愈烈，因其帶來的巨大危害引發(fā)全球關(guān)注。尋求有效、可落地的保障方法成為軟件供應(yīng)鏈相關(guān)各方的共同目標(biāo)。平安開發(fā)框架作為軟件開發(fā)生命周期中各階段平安實(shí)踐、活動(dòng)和措施的集合，能夠指導(dǎo)使用者提高軟件生產(chǎn)和產(chǎn)品的平安性，并且它們?cè)絹碓蕉嗟膶⒐?yīng)鏈因素考慮在內(nèi)，形成一個(gè)不斷完善的保障體系。本文通過對(duì)六種主流平安開發(fā)框架的最新版本進(jìn)行分析，總結(jié)了共性和差異，歸納了供應(yīng)鏈平安保障的主要環(huán)節(jié)，提出了操作指南細(xì)化的初步思路。六種框架包括平安軟件開發(fā)框架(NISTSSDF)V1.1.軟件聯(lián)盟平安軟件框架(BSAFSS)VLl、SAFECode平安軟件開發(fā)基本實(shí)踐V3、軟件保障成熟度模型(OWASPSAMM)V2.0、平安內(nèi)建成熟度模型(BSIMM)V12和微軟平安開發(fā)生命周期(MSSDL)2022o一、六種主流平安開發(fā)框架的異同點(diǎn)六種主流平安開發(fā)框架面向開發(fā)組織，以軟件的風(fēng)險(xiǎn)管控和漏洞防控為目標(biāo)，以軟件開發(fā)生命周期為主線?？蚣芫捎枚嗉?jí)分類的形式：即首先劃分為大類，然后逐級(jí)細(xì)化，名稱不同，但最終都細(xì)化為具體的平安要求或措施，以指導(dǎo)使用者。六種框架的最新版均較多涉及軟件供應(yīng)鏈平安方面的內(nèi)容，如第三方組件/開源組件的平安管控、對(duì)供應(yīng)商的平安要求、開發(fā)工具和環(huán)境的平安防范、構(gòu)

建部署環(huán)境的平安防護(hù)、第三方組件漏洞響應(yīng)等；SSDFV1.1作為應(yīng)美行政令要求而出臺(tái)的高層級(jí)實(shí)踐框架，參考了其他5個(gè)框架的內(nèi)容。各框架之間也存在著較大的差異，主要差異如表1所示。表1六種平安開發(fā)框架的主要差異比照差異方面?zhèn)戎攸c(diǎn)具體說明輸入/輸出(即生產(chǎn)過程/產(chǎn)品結(jié)果)方面考慮輸出SSDF考慮平安實(shí)踐結(jié)果，而不明確實(shí)現(xiàn)的工具、技術(shù)和機(jī)制等BSAFSS既考慮過程也考慮結(jié)果考慮輸入其他4種框架主要考慮輸入，即平安實(shí)踐的具體實(shí)施平安實(shí)踐/活動(dòng)粒度方面粒度較細(xì)SAMM和BS1MM通過總結(jié)相關(guān)企業(yè)的具體保障措施，劃分了3個(gè)成熟度級(jí)別MSSDL基于自己的實(shí)踐，有對(duì)應(yīng)工具和技術(shù)方法的說明較為粗略SSDF和BSAFSS以面向結(jié)果為主最為粗略SAFECode平安軟件開發(fā)基本實(shí)踐以概括性說明居多供應(yīng)鏈安全方面考慮全面SSDF、BSAFSS、SAMM和BSTMM(第三方組件方面主要考慮開源組件)的供應(yīng)鏈平安實(shí)踐幾乎涉及軟件開發(fā)生命周期各個(gè)階段側(cè)重局部?jī)?nèi)容SAFECode和MSSDL主要考慮第三方/開源組件的平安問題、平安構(gòu)建。MSSDL作為SAFECode的參與成員，使用其第三方組件平安風(fēng)險(xiǎn)管理(TPC)方法特色內(nèi)容BSAFSS單獨(dú)將供應(yīng)鏈(SM)作為一大類來考慮，并且考慮了供應(yīng)鏈數(shù)據(jù)平安問題二.軟件供應(yīng)鏈平安保障的主要環(huán)節(jié)通過對(duì)各框架具體內(nèi)容的分析可以發(fā)現(xiàn)，除了自主研發(fā)軟件代碼和產(chǎn)品的平安措施外，軟件供應(yīng)鏈平安保障實(shí)踐主要涉及4個(gè)環(huán)節(jié)。1、第三方組件的平安管控作為最終軟件產(chǎn)品的重要組成局部，商業(yè)、開源和其他第三方來源組件等〃外來原料〃的平安性是軟件供應(yīng)鏈平安保障首先要考慮的問題，六種平安開發(fā)框架也都將針對(duì)第三方/開源組件的保護(hù)作為重點(diǎn)。

SAFECode平安軟件開發(fā)基本實(shí)踐將第三方組件平安風(fēng)險(xiǎn)管理(TPC)作為單獨(dú)一局部進(jìn)行系統(tǒng)描述。TPC管理共有4個(gè)步驟：TPC列表維護(hù)、評(píng)估來自TPC的平安風(fēng)險(xiǎn)、緩解或接受風(fēng)險(xiǎn)、監(jiān)控變化，每個(gè)步驟又包含假設(shè)干具體措施，如圖1所示。TPC生命周期管理定義唯一的標(biāo)識(shí)符評(píng)估漏洞和實(shí)豉補(bǔ)丁/版本升級(jí)監(jiān)控變化響應(yīng)新漏洞映射組件名稱評(píng)價(jià)組件的

操作風(fēng)險(xiǎn)等價(jià)替換對(duì)壽命終結(jié)

進(jìn)行監(jiān)控創(chuàng)言TPC生命周期管理定義唯一的標(biāo)識(shí)符評(píng)估漏洞和實(shí)豉補(bǔ)丁/版本升級(jí)監(jiān)控變化響應(yīng)新漏洞映射組件名稱評(píng)價(jià)組件的

操作風(fēng)險(xiǎn)等價(jià)替換對(duì)壽命終結(jié)

進(jìn)行監(jiān)控創(chuàng)言BoM內(nèi)部使用交互風(fēng)險(xiǎn)剖面

變化貢獻(xiàn)給社區(qū)/

供應(yīng)商貢獻(xiàn)給社區(qū)/

供應(yīng)商響應(yīng)策唔變化逵過代碼緩葬貢獻(xiàn)給社區(qū)/

供應(yīng)商響應(yīng)策唔變化至受風(fēng)險(xiǎn)其他幾種框架關(guān)于第三方組件的平安要求也符合圖1模型中的步驟，只是對(duì)某些方面的措施進(jìn)行了細(xì)化，例如：第三方組件列表維護(hù)方面框架考慮了來源信息和依賴關(guān)系的記錄與分析、BSAFSSSM.2-2/SM.2-3.SAMMSB1/SB2/SB3.BSIMMSR2.4/SE3.6),以及第三方組件的獲取、批準(zhǔn)、符合性、保存和維護(hù)、SAMMSA3、MSSDL開源軟件風(fēng)險(xiǎn)管理實(shí)踐1)等要求；風(fēng)險(xiǎn)評(píng)估方面框架考慮了第三方組件的平安漏洞檢測(cè)及發(fā)現(xiàn)SBSAFSSVM.1-3.SAMMSTI、BSIMMCR1.2SMSSDL開源軟件風(fēng)險(xiǎn)管理實(shí)踐2)、平安性評(píng)估(BSIMMSFD2.1)、使用復(fù)雜性評(píng)估(SAMMSA2)等實(shí)踐;風(fēng)險(xiǎn)緩解方面框架考慮了第三方組件漏洞的公開和修復(fù)、BSAFSSVM.l-3/VM3)、打補(bǔ)丁(BSAFSSVN.l、SAMMEMI)、控制開源風(fēng)險(xiǎn)(BSIMMSR3.1、MSSDL開源軟件風(fēng)險(xiǎn)管理實(shí)踐3和4)等措施；在生命周期監(jiān)管方面框架考慮了監(jiān)控第三方組件的生命終止(BSAFSSEL.1-3)、定期替換已終止的第三方應(yīng)用及依賴關(guān)系(SAMM0M2)等內(nèi)容。小結(jié)：所有框架對(duì)第三方/開源組件的維護(hù)、風(fēng)險(xiǎn)評(píng)估和緩解(特別是平安漏洞的檢測(cè)和修復(fù)渚B有詳細(xì)的措施"余SSDF和BSIMM外也都提到了對(duì)組件生命周期變化的監(jiān)控。它們都把第三方/開源組件的風(fēng)險(xiǎn)管控放在重要位置，而且已具備系統(tǒng)性的管控措施。2、針對(duì)供應(yīng)商的平安要求如果說第三方組件是供應(yīng)鏈中重要的原材料，軟件供應(yīng)商無疑就是其中最主要的主觀因素。提高供應(yīng)商的平安意識(shí)、能力，對(duì)其進(jìn)行必要的平安要求，也是供應(yīng)鏈平安中不可或缺的一環(huán)。平安開發(fā)框架中對(duì)供應(yīng)商的平安要求主要包括對(duì)供應(yīng)商進(jìn)行評(píng)估并簽署安全協(xié)議、要求供應(yīng)商使用一致的平安方法并對(duì)其進(jìn)行培訓(xùn)I、明確供應(yīng)商的平安事件響應(yīng)責(zé)任等5個(gè)方面，詳細(xì)如表2所示。表2平安開發(fā)框架中對(duì)供應(yīng)商的平安要求分類具體內(nèi)容收集供應(yīng)商信息并評(píng)估BSAFSS：識(shí)別并收集笫三方組件供應(yīng)商的信息(SM.2-1)SAMM：對(duì)供應(yīng)商進(jìn)行評(píng)估，了解其優(yōu)勢(shì)和劣勢(shì)(SR1)BS1MM：收集供應(yīng)商額外信息，了解其對(duì)組織合規(guī)要求的支持情況(CP3.1)與供應(yīng)商簽署平安協(xié)議SSDF：與提供商業(yè)組件的第三方溝通需求，以進(jìn)行軟件重用(P0.L3)BSAFSS：將平安需求整合到供應(yīng)商合同、策略和標(biāo)準(zhǔn)中(SM.2-4)SAMM：與供應(yīng)商討論平安責(zé)任(SR2)BSIMM：軟件平安性SLA(SR2.5/CP2.4)、個(gè)人身份信息(PII)責(zé)任(CP1.2)平安方法一致性要求SAMM：與供應(yīng)商保持一致的軟件開發(fā)實(shí)踐(SR3)BS1MM：政策策略統(tǒng)一(CP3.2)、平安設(shè)計(jì)模式統(tǒng)一(SFD3.1)、平安標(biāo)準(zhǔn)統(tǒng)一(SR3.2)對(duì)供應(yīng)商進(jìn)行平安培訓(xùn)SAMM：培訓(xùn)意識(shí)(EG1)、定制化培訓(xùn)(EG2)、標(biāo)準(zhǔn)化平安指導(dǎo)(EG3)BSIMM：為供應(yīng)商或外包人員提供培訓(xùn)(T3.2)供應(yīng)商的漏洞管理和事件響應(yīng)職責(zé)BSAFSS:供應(yīng)商維護(hù)漏洞管理計(jì)劃和披露流程(VM.1/VM.3)、及時(shí)發(fā)布補(bǔ)丁或更新(VN.1)、終止軟件服務(wù)及相關(guān)風(fēng)險(xiǎn)和措施的告知(EL1-2)BSIMM：事件響應(yīng)機(jī)制中包括與重要供應(yīng)商建立溝通渠道(CMVML1)小結(jié):多個(gè)框架都要求對(duì)供應(yīng)商進(jìn)行評(píng)估和簽署平安協(xié)議；BSIMM對(duì)供應(yīng)商的要求最為全面，涉及所有5個(gè)方面；上述這些對(duì)供應(yīng)商的要求貫穿于軟件開發(fā)生命周期的全過程，在平安層面將供應(yīng)商與組織捆綁在一起。3.軟件基礎(chǔ)設(shè)施的平安性軟件產(chǎn)品的基礎(chǔ)設(shè)施包括開發(fā)、構(gòu)建、部署、運(yùn)維等過程中所使用的工具和環(huán)境等，這些設(shè)施一般由第三方提供，近年來發(fā)生的供應(yīng)鏈攻擊事件也多與其相關(guān)，如Codecov供應(yīng)鏈攻擊事件，因此它們的平安性也成為目前關(guān)注的焦點(diǎn)。6種平安開發(fā)框架對(duì)各階段基礎(chǔ)設(shè)施的平安性也有較為詳細(xì)的要求：?開發(fā)工具和環(huán)境的平安性方面框架考慮了開發(fā)環(huán)境的隔離、開發(fā)終端的加固(SSDFPO.5.1/PO.5.2);內(nèi)部代碼庫和加密服務(wù)密鑰保護(hù)、最新版開發(fā)工具的使用、開發(fā)框架的平安配置、開發(fā)環(huán)境訪問的強(qiáng)身份認(rèn)證(BSAFSSDE.1-2/DE.1-3/DE.2-1/DE.2-2/IA.1-1);開發(fā)環(huán)境平安質(zhì)量評(píng)估、SDK之類的庫和組件及系統(tǒng)的平安性評(píng)估(SAMMSA1/AA1)等措施。?平安構(gòu)建方面框架考慮了使用最新版本和批準(zhǔn)的編譯器等構(gòu)建工具、SAFECode實(shí)踐、MSSDL實(shí)踐8)、對(duì)構(gòu)建工具進(jìn)行檢查驗(yàn)證及強(qiáng)制執(zhí)行平安基線、SAMMSB1/SB3),選擇適當(dāng)?shù)木幾g特性并進(jìn)行平安配置、BSAFSSDE.2-3/DE.2-4/DE.2-5),構(gòu)建過程的自動(dòng)化(SAMMSB2)等措施。?部署和運(yùn)維環(huán)境的平安性方面框架考慮了容器和虛擬化環(huán)境的使用編排及部署自動(dòng)化(BSAFSSDE.2-6、SAMMSD2、BSIMMSE2.7)、部署的平安檢查和平安配置(BSAFSSDE.2-6、SAMMSD2、BSIMMAA1.1/SE2.2).確保安裝在正確硬件和授權(quán)用戶的機(jī)制(BSAFSSSM.6-1)、可部署工件風(fēng)險(xiǎn)數(shù)據(jù)的發(fā)布(BSIMMCMVM3.6)、主機(jī)網(wǎng)絡(luò)及云平安能力保障(BSIMMSE1.2/SE2.6),基礎(chǔ)運(yùn)維設(shè)施平安的驗(yàn)證(BSIMMCMVM3.5)等措施。小結(jié)：BSAFSS和SAMM在3個(gè)方面均有涉及；SSDF更關(guān)注開發(fā)和編譯環(huán)境的平安;BSIMM在部署和運(yùn)維環(huán)境平安方面的實(shí)踐更多一些，特別是運(yùn)維；SAFECode和MSSDL主要對(duì)平安構(gòu)建進(jìn)行了要求。雖然各有側(cè)重，但所有框架都有對(duì)基礎(chǔ)設(shè)施平安保護(hù)的要求，并且相信后續(xù)版本中此類措施會(huì)越來越多。4.軟件自身平安性的保護(hù)軟件(包括補(bǔ)丁)的偽造和篡改同樣是供應(yīng)鏈攻擊的主要手段之一。軟件完整性保護(hù)就是通過驗(yàn)證軟件來源、授權(quán)、完整性等信息的一致性來防止此類問題的機(jī)制，代碼簽名和來源信息驗(yàn)證是其中最為主要的方法；此外，補(bǔ)丁的平安性也是軟件自身保護(hù)的重要局部?？蚣艿南嚓P(guān)措施包括：?軟件完整性保護(hù)方面措施包括建立代碼簽名和第三方工件簽名之類的軟件完整性保障機(jī)制(SSDFPS.2.1/PS3.1,BSAFSSSM.4-1、SAMMSD3、BSIMMSE2.4/SE3.2),軟件來源數(shù)據(jù)的收集維護(hù)及驗(yàn)證BSAFSSSM.4-2,BSIMMSE2.4)、每個(gè)交付產(chǎn)品特定軟件版本的唯一標(biāo)識(shí)(BSAFSSSM.4-3)等。?補(bǔ)丁平安性防護(hù)方面措施包括對(duì)補(bǔ)丁進(jìn)行功能和平安測(cè)試(BSAFSSVN.1-3),通過可信和自動(dòng)化渠道交付補(bǔ)丁(SSDFRV2.2、BSAFSSVN.2-1)、對(duì)補(bǔ)丁進(jìn)行簽名以確保其完整性(BSAFSSVN.2-2)、追蹤打補(bǔ)丁流程對(duì)SLA的合規(guī)情況(SAMMEM3)等。小結(jié)：多數(shù)框架對(duì)軟件完整性保護(hù)進(jìn)行了要求，并遵循主流的防篡改方法；在補(bǔ)丁平安性防護(hù)方面，BSAFSS從測(cè)試、傳輸、防篡改等角度進(jìn)行了要求，最為全面。三、平安開發(fā)框架主要指導(dǎo)作用思考平安開發(fā)框架以軟件開發(fā)生命周期為主線，基于組織和企業(yè)的實(shí)踐和操作經(jīng)驗(yàn)，并將供應(yīng)鏈相關(guān)的平安措施納入，目前各類平安開發(fā)框架的內(nèi)容也較為豐富，對(duì)軟件供應(yīng)鏈平安保障工作具有一定的指導(dǎo)作用，主要表達(dá)在以下兩占,/WX?一是在直接使用方面，鑒于框架不同的編制背景，軟件供應(yīng)鏈平安決策和策略制定等相關(guān)人員可更多的參考結(jié)果導(dǎo)向框架的內(nèi)容，關(guān)注目標(biāo)和效