淺談軟件供應(yīng)鏈安全治理趨勢與最佳實(shí)踐

淺談軟件供應(yīng)鏈安全治理趨勢與最佳實(shí)踐02軟件供應(yīng)鏈安全風(fēng)險(xiǎn)事件總結(jié)CONTETS0302軟件供應(yīng)鏈安全風(fēng)險(xiǎn)事件總結(jié)CONTETS03軟件供應(yīng)鏈風(fēng)險(xiǎn)治理思路分享405軟件供應(yīng)鏈安全技術(shù)發(fā)展趨勢01軟件供應(yīng)鏈安全風(fēng)險(xiǎn)面的分析軟軟件供應(yīng)鏈安全創(chuàng)新實(shí)踐案例軟件供應(yīng)鏈安全風(fēng)險(xiǎn)軟件供應(yīng)鏈安全風(fēng)險(xiǎn)面的分析PPART軟件供應(yīng)鏈可以理解為一個(gè)鏈條，那么在鏈條上的每一個(gè)環(huán)節(jié)都可能產(chǎn)生安全威脅，由于軟件設(shè)計(jì)缺陷和軟件開發(fā)過程中產(chǎn)生的漏洞將沿著軟件供應(yīng)鏈的樹狀結(jié)構(gòu)由上游向下游擴(kuò)散，加大了軟件供應(yīng)鏈的安全質(zhì)量控制及標(biāo)準(zhǔn)提出了更高的要求。軟件復(fù)雜度增加，軟件供應(yīng)鏈每一環(huán)節(jié)均存在風(fēng)險(xiǎn)設(shè)計(jì)階段設(shè)計(jì)階段編碼階段發(fā)布階段運(yùn)營階段開發(fā)的設(shè)計(jì)階團(tuán)隊(duì)沒有進(jìn)行的攻擊面。、開源軟源代碼的惡意開發(fā)的設(shè)計(jì)階團(tuán)隊(duì)沒有進(jìn)行的攻擊面。、開源軟源代碼的惡意架構(gòu)設(shè)計(jì)或程碼因安全檢測不而未被識(shí)別、軟件或故意留下的“后門”漏洞來源漏洞來源合法供應(yīng)商引入漏洞一個(gè)產(chǎn)品的產(chǎn)生需要引入一個(gè)或多個(gè)第三方供應(yīng)商，第三方供應(yīng)商的安全性通常難以得到保障。篡改或偽造組件的漏洞披著正規(guī)廠商“合法”的外衣，使偽造惡意代碼組件在傳播速度與產(chǎn)生的惡劣影響方面有了大幅度的提升。編碼過程引入的漏洞缺乏安全意識(shí)以及不良的編碼習(xí)慣、實(shí)踐和策略往往會(huì)引入一些安全漏洞以及測試預(yù)留賬號等。開源組件引入的漏洞開源組件帶來的安全漏洞以及許可證風(fēng)險(xiǎn)。編碼過程引入的漏洞缺乏安全意識(shí)以及不良的編碼習(xí)慣、實(shí)踐和策略往往會(huì)引入一些安全漏洞以及測試預(yù)留賬號等。開源組件引入的漏洞開源組件帶來的安全漏洞以及許可證風(fēng)險(xiǎn)。合法供應(yīng)商引入漏洞一個(gè)產(chǎn)品的產(chǎn)生需要引入一個(gè)或多個(gè)第三方供應(yīng)商，第三方供應(yīng)商的安全性通常難以得到保障。漏洞來源軟件供應(yīng)鏈安全風(fēng)險(xiǎn)事件總結(jié)篡改或偽造組件的漏洞PART披著正規(guī)廠商“合法”的外衣，使偽造惡意代碼組件在傳播速度與產(chǎn)生的惡劣影響方面有了大幅度的提升。2015年9月爆發(fā)蘋果開發(fā)工具XcodeGhost事件。攻擊者利用當(dāng)時(shí)通過官方渠道獲取Xcode官方版本困難的情況，在非官方渠道發(fā)布的Xcode注入病毒，導(dǎo)致2500多款使用該工具開發(fā)的蘋果APP被植入惡意代碼，受影響的蘋果IOS用戶達(dá)到1.28億。左圖為國內(nèi)用戶測試發(fā)現(xiàn)的受影響APP。 (圖片來源于網(wǎng)絡(luò)，如有錯(cuò)誤請聯(lián)系我)2020年12月13日，發(fā)現(xiàn)了基礎(chǔ)網(wǎng)絡(luò)管理軟件供應(yīng)商SolarWindsOrion軟件在2020年3-6月期間發(fā)布的版本均受到供應(yīng)鏈攻擊的影響。攻擊者在這段期間發(fā)布的2019.4-2020.2.1版本中植入了惡意的后門應(yīng)用程序。這些程序利用SolarWinds的數(shù)字證書繞過驗(yàn)證，與攻擊者的通信會(huì)偽裝成OrionImprovementProgram(OIP)協(xié)議并將結(jié)果隱藏在眾多合法的插件配置文件中，從而達(dá)成隱藏自身的目的。的文件中表示，在其30w+客戶中，大約有33,000名是Orion客戶，這其中大約又有18,000名客戶安裝了帶有后門的Orion軟件。同時(shí)SolarWinds稱入侵也損害了其MicrosoftOffice365帳戶。2021年10月23-26日：SonarQube大量源碼泄露23日：疾控中心HIS源碼。25日：梅賽德斯-奔馳中國部分開發(fā)源碼。26日：公安系統(tǒng)的醫(yī)療，保險(xiǎn)，人事的SRC源碼攻擊者可利用該漏洞通過API設(shè)置值URI，發(fā)現(xiàn)明文的SMTP和GitLab憑證(tocken)等敏感信息泄露，可導(dǎo)致gitlab中項(xiàng)目的代碼可以被任意clone下載。但是在2020年10月份,FBI就發(fā)出警告：“從2020年4相關(guān)的源代碼泄漏事件，這些源代碼來自政府和企業(yè)，遍布技術(shù)、金融、零售、視頻、電子商務(wù)和制造行”2021年10月23-26日：SonarQube大量源碼泄露23日：疾控中心HIS源碼。25日：梅賽德斯-奔馳中國部分開發(fā)源碼。26日：公安系統(tǒng)的醫(yī)療，保險(xiǎn)，人事的SRC源碼攻擊者可利用該漏洞通過API設(shè)置值URI，發(fā)現(xiàn)明文的SMTP和GitLab憑證(tocken)等敏感信息泄露，可導(dǎo)致gitlab中項(xiàng)目的代碼可以被任意clone下載。但是在2020年10月份,FBI就發(fā)出警告：“從2020年4月開始，F(xiàn)BI就發(fā)現(xiàn)了和不安全的SonarQube實(shí)例相關(guān)的源代碼泄漏事件，這些源代碼來自政府和企業(yè)，遍布技術(shù)、金融、零售、視頻、電子商務(wù)和制造行業(yè)?！避浖?yīng)鏈風(fēng)險(xiǎn)治理思路分享PPART軟件生存運(yùn)營周軟件生存運(yùn)營周期軟件開發(fā)生命周期軟件安全開發(fā)生命周期(SDL)，是一個(gè)幫助開發(fā)人員構(gòu)建更安全的軟件和解決安全合規(guī)要求的同時(shí)降低開發(fā)成本的軟件開發(fā)過程。SDL將軟件開發(fā)生命周期劃分為7個(gè)階段(如圖所示)，并提出了17項(xiàng)重要的安全活動(dòng)，以減少軟件中漏洞的數(shù)量并將安全缺陷降低到最小程度。SDL更側(cè)過程，旨在開發(fā)出安全的軟件產(chǎn)品。DevSecOps是2017年美國RSAC大會(huì)上新提出的一個(gè)念延伸和演變而來。其核心理念是安全是整個(gè)IT團(tuán)隊(duì)每個(gè)人的責(zé)任，需要貫穿從開發(fā)到運(yùn)營整個(gè)業(yè)務(wù)生命周期每一個(gè)環(huán)節(jié)才能提供有效保障。DevSecOps覆蓋編碼階段、測試階段、預(yù)發(fā)布階段、CI/CD平臺(tái)推動(dòng)整個(gè)開發(fā)和運(yùn)營流程自動(dòng)化。DevSecOps依賴于DevOps流程工具鏈(如圖所示)，將威脅建模工具、安全編碼工具、安全測試工具、容器安全檢測工具、基線加固工具、漏洞管理工具等自動(dòng)化工具無縫集成到DevOps流程中，進(jìn)而實(shí)現(xiàn)開發(fā)-安全-運(yùn)營一體化。DevOps瀑布模型敏捷模型瀑布式開發(fā)敏捷開發(fā)DevOps設(shè)計(jì)開發(fā)測試部署DevSecOps新特性DevOps瀑布模型敏捷模型瀑布式開發(fā)敏捷開發(fā)DevOps設(shè)計(jì)開發(fā)測試部署DevSecOps新特性傳傳統(tǒng)SDL面臨的安全挑戰(zhàn)軟件供應(yīng)鏈安全治理-設(shè)計(jì)階段?標(biāo)準(zhǔn)確立：結(jié)合企業(yè)的實(shí)際情況，構(gòu)建軟件供應(yīng)商評估模型，制定軟件供應(yīng)商考核的評估標(biāo)準(zhǔn)及安全框架；?資格評估：根據(jù)制定的軟件供應(yīng)商評估模型和相關(guān)標(biāo)準(zhǔn)，對初步符合要求的軟件供應(yīng)商進(jìn)行多維度的綜合性資格評估，選出匹配度最高的供應(yīng)商；?風(fēng)險(xiǎn)評估：對通過資格評估的軟件供應(yīng)商進(jìn)行安全風(fēng)險(xiǎn)評估，針對軟件供應(yīng)商面臨的潛在的安全風(fēng)險(xiǎn)、存在的弱點(diǎn)以及有可能造成的影響綜合分析其可能帶來的安全風(fēng)險(xiǎn)評估；?風(fēng)險(xiǎn)監(jiān)控：對軟件供應(yīng)商實(shí)施長期性的安全風(fēng)險(xiǎn)監(jiān)控，持續(xù)識(shí)別和管理軟件供應(yīng)商的安全風(fēng)險(xiǎn)，根據(jù)監(jiān)測結(jié)果實(shí)施更新對軟件供應(yīng)商的風(fēng)險(xiǎn)管理策略。軟件供應(yīng)鏈安全治理-編碼階段軟件供應(yīng)鏈安全始于對關(guān)鍵環(huán)節(jié)的可見性，企業(yè)需要為每個(gè)硬件、應(yīng)用程序持續(xù)構(gòu)建詳細(xì)的SBOM (SoftwareBillofMaterial，軟件物料清單)(如圖所示)，從而全面洞察每個(gè)應(yīng)用軟件的組件情況。SBOM是描述軟件包依賴樹的一系列元數(shù)據(jù)，包括供應(yīng)商、版本號和組件名稱等多項(xiàng)關(guān)鍵信息，這些信息在分析軟件安全漏洞時(shí)發(fā)揮著重要作用。軟件供應(yīng)鏈安全治理-構(gòu)建階段軟件成分分析(SoftwareCompositionAnalysis，SCA)是一種對二進(jìn)制軟件的組成部分進(jìn)行識(shí)別、分析和追蹤的技術(shù)。SCA可以生成完整的SBOM，分析開發(fā)人員所使用的各種源 (OSS)的組件及其構(gòu)成和依賴，并精準(zhǔn)識(shí)別系統(tǒng)中存在的已知安全漏洞或者潛在的許可證授權(quán)問題，把這些安全風(fēng)險(xiǎn)排除在軟件的發(fā)布上線之前，也適用于軟件運(yùn)行中的診斷分析。軟件供應(yīng)鏈安全治理-測試階段IAST實(shí)時(shí)Web日志完成業(yè)務(wù)安全測試不影響正常業(yè)務(wù)流執(zhí)行和率。。軟件供應(yīng)鏈安全治理-運(yùn)營階段(體系)發(fā)布運(yùn)營階段包括監(jiān)測告警、應(yīng)急響應(yīng)、事件處置、持續(xù)跟進(jìn)等關(guān)鍵活動(dòng)。在日常的運(yùn)營管理中，企業(yè)可以通過采用自動(dòng)化分析技術(shù)對數(shù)據(jù)進(jìn)行實(shí)時(shí)統(tǒng)計(jì)分析，發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)，并自動(dòng)發(fā)送警報(bào)信息。在有突發(fā)事件出現(xiàn)時(shí)，通過監(jiān)測預(yù)警，安全人員可以迅速地進(jìn)行安全響應(yīng)、在最短的時(shí)間內(nèi)確定相關(guān)解決方案并進(jìn)行事件處置，在解決之后進(jìn)行經(jīng)驗(yàn)總結(jié)并改進(jìn)。通件系統(tǒng)進(jìn)行實(shí)時(shí)自動(dòng)檢測，當(dāng)發(fā)現(xiàn)安全問速響應(yīng)。軟件供應(yīng)鏈安全治理-運(yùn)營階段(工具)BAS(入侵與攻擊模擬)通過模擬對端點(diǎn)的惡意軟件攻擊、數(shù)據(jù)泄露、惡意軟件攻擊和復(fù)雜的APT攻擊，測試組織的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施是否安全可靠，在執(zhí)行結(jié)束時(shí)，系統(tǒng)將生成關(guān)于組織安全風(fēng)險(xiǎn)的詳細(xì)報(bào)技術(shù)使其實(shí)現(xiàn)自動(dòng)化和持續(xù)化，實(shí)現(xiàn)實(shí)時(shí)洞察組織的安全態(tài)勢。軟件供應(yīng)鏈安全治理-運(yùn)營階段(工具)WAF通過增強(qiáng)輸入驗(yàn)證，可以在運(yùn)營階段有效防止網(wǎng)頁篡改、信息泄露、木馬植入等惡意網(wǎng)絡(luò)入侵行為，從而減小Web服務(wù)器被攻擊的可次訪問，將請求重定向到默認(rèn)登錄頁面并且記錄時(shí)間，通過檢測用戶的整個(gè)操作行為可以更容易識(shí)別攻擊。軟件供應(yīng)鏈安全治理-運(yùn)營階段(工具)RASP將保護(hù)代碼像一劑疫苗注入到應(yīng)用程序中，與應(yīng)用程序融為一體，使應(yīng)用程序具備自我保護(hù)P遭P阻斷安全攻擊，無需人工干預(yù)，最終實(shí)現(xiàn)軟件應(yīng)用的自我保護(hù)，確保軟件應(yīng)用的安全運(yùn)行。軟件供應(yīng)鏈安全治理-運(yùn)營階段(工具)威脅情報(bào)平臺(tái)(TIP)，可以幫助安全人員明確企業(yè)的在線資產(chǎn)和安全狀況，根據(jù)企業(yè)自身資產(chǎn)的重要程度和影響面，進(jìn)行相關(guān)的漏洞修補(bǔ)和風(fēng)險(xiǎn)管理；同時(shí)可以幫助安全人員了解企業(yè)自身正在遭受或未來面臨的安全威脅，提供解決建議。軟件供應(yīng)鏈安全治理-運(yùn)營階段(工具)容器安全工具可以自動(dòng)化構(gòu)建容器資產(chǎn)相關(guān)信息，提供容器環(huán)境中各類資產(chǎn)的狀態(tài)監(jiān)控，包括容器、鏡像、鏡像倉庫和主機(jī)等基礎(chǔ)資產(chǎn)信息，使資產(chǎn)擁有較強(qiáng)的可擴(kuò)展能力；通過建立智能應(yīng)用補(bǔ)丁掃描工具，為安全人員提供鏡像管理、鏡像檢測以及自動(dòng)化補(bǔ)丁修復(fù)建議?；谙乱淮e極檢測防御技術(shù)，幫助企業(yè)打通開發(fā)-交付-運(yùn)營，提升強(qiáng)化溯源能力、降低排查成本、提高重大漏洞響應(yīng)速度，落地供應(yīng)鏈安全治理體系。交付階段測試部署應(yīng)用分發(fā)部署運(yùn)行代碼編寫構(gòu)建打包制品生成應(yīng)用信息采集簽名分發(fā)?運(yùn)行時(shí)探針?中間件環(huán)境依賴?功能測試?交付階段測試部署應(yīng)用分發(fā)部署運(yùn)行代碼編寫構(gòu)建打包制品生成應(yīng)用信息采集簽名分發(fā)?運(yùn)行時(shí)探針?中間件環(huán)境依賴?功能測試?RASP持續(xù)免疫應(yīng)用變更監(jiān)控容器鏡像檢測提交制品倉庫maven打包應(yīng)用包審查簽名提交代碼同源檢測組件依賴檢測提交代碼倉庫懸鏡安全大腦行業(yè)情報(bào)同步?BAS攻擊模擬修復(fù)方案建議漏洞分級制度分級處置流程風(fēng)險(xiǎn)組件覆蓋?對接OA、工單、郵相關(guān)人員建群漏洞可利用性評估?確認(rèn)修復(fù)方案(升、熱修復(fù))風(fēng)險(xiǎn)響應(yīng)評估部門/項(xiàng)目通知威脅持續(xù)感知職責(zé)分配修復(fù)方案風(fēng)險(xiǎn)知識(shí)庫安全制品庫統(tǒng)一上線發(fā)布流程公司級SBOM開發(fā)階段開發(fā)階段架構(gòu)設(shè)計(jì)架構(gòu)設(shè)計(jì)組件選用規(guī)范架構(gòu)安全評審參考修復(fù)建議單元修復(fù)驗(yàn)證提交修復(fù)版本研發(fā)修復(fù)研發(fā)修復(fù)安全運(yùn)營階安全運(yùn)營階段基于下一代積極檢測防御技術(shù)，幫助企業(yè)打通開發(fā)-交付-運(yùn)營，提升強(qiáng)化溯源能力、降低排查成本、提高重大漏洞響應(yīng)速度，落地供應(yīng)鏈安全治理體系。交付階段測基于下一代積極檢測防御技術(shù)，幫助企業(yè)打通開發(fā)-交付-運(yùn)營，提升強(qiáng)化溯源能力、降低排查成本、提高重大漏洞響應(yīng)速度，落地供應(yīng)鏈安全治理體系。交付階段測試部署應(yīng)用分發(fā)代碼編寫構(gòu)建打包制品生成部署運(yùn)行?運(yùn)行時(shí)探針?中間件環(huán)境依賴?功能測試應(yīng)用信息采集簽名分發(fā)?RASP持續(xù)免疫應(yīng)用變更監(jiān)控容器鏡像檢測提交制品倉庫maven打包應(yīng)用包審查簽名提交代碼同源檢測組件依賴檢測提交代碼倉庫庫懸鏡安全大腦行業(yè)情報(bào)同步?BAS攻擊模擬修復(fù)方案建議漏洞分級制度分級處置流程風(fēng)險(xiǎn)組件覆蓋?對接OA、工單、郵相關(guān)人員建群漏洞可利用性評估?確認(rèn)修復(fù)方案(升、熱修復(fù))風(fēng)險(xiǎn)響應(yīng)評估部門/項(xiàng)目通知威脅持續(xù)感知職責(zé)分配修復(fù)方案開發(fā)階段架構(gòu)設(shè)計(jì)線發(fā)布流程公司級SBOM險(xiǎn)知識(shí)