ISC 2023軟件供應鏈安全洞察

軟件供應鏈安全洞察關于ISCISC成立于2013年，是國內(nèi)唯一專注為數(shù)字安全行業(yè)賦能的平臺。打維一體”的生態(tài)模式，全面賦能國家、政府、行業(yè)、企業(yè)、個人。過去10年，ISC秉承創(chuàng)新引領、智慧洞察、專業(yè)當今世界規(guī)格高、輻射廣、影響力深遠的全球性安全峰會——互聯(lián)網(wǎng)安全本報告版權屬于ISC，任何組織、個人未經(jīng)授權，不得轉載、更改或者以任何方式傳送、復印、派發(fā)該報告內(nèi)容，違者將依法追究法律責任。轉·本報告中的信息及觀點僅供參考，ISC對本報告擁有最終當今世界處于數(shù)字化轉型過程中，社會運行對軟件的依賴日益加深，2020年底被爆出的SolarWinds攻由于開源軟件的廣泛采用、基礎架構云化、以及軟件開發(fā)全球供應鏈的原因，軟件供應鏈安全問題的解決變得尤為困難，ISC推出的這份《軟件供應鏈安全行業(yè)洞察報告》可以為國內(nèi)軟件供應鏈安全問題的解決提白皮書介紹了軟件供應鏈安全的重要性、現(xiàn)狀、風險、攻擊類型、治理指南以及落地實踐方案等方面的內(nèi)容。白皮書從市場動態(tài)、技術發(fā)展、政策法規(guī)等方面分析了軟件供應鏈安全的現(xiàn)狀，同時還對軟件供應鏈安全風險進行了分析，包括軟件供應鏈的構成要素、軟件開發(fā)生命周期階段、軟件供應鏈威脅行為類別以及軟件供應鏈安全風險影響范圍等維度。接著，對軟件供應鏈攻擊類型進行了分析，包括開發(fā)階段、分發(fā)階段、部署階段和維護階段等不同階段的攻擊類型。在此基礎上，提供了軟件供應鏈安全風險治理指南，包括軟件供應鏈風險治理體系建設、軟件供應商風險管理以及軟件開發(fā)生命周期風險治理指南等方面的內(nèi)容。最后，介紹了軟件供應鏈安全落地實踐方案，包括懸鏡軟件供應鏈安全治理與運營解決方案在某金融機構的落地實踐案例和某能源集團軟供安全漏洞自動挖掘和修復落地實踐等方面的內(nèi)容，同時也探討了軟件供應鏈安軟件供應鏈安全是當今網(wǎng)絡空間安全的熱點問題之一，一系列法律法規(guī)、最佳實踐、技術、產(chǎn)品、流程還在在快速的完善過程中。關注軟件供應鏈安全，保護信息安全、組織聲譽、降低法律風險、提高業(yè)務持續(xù)真實有效的落地案例，內(nèi)容全面、技術詳實、觀點清晰，可作為各組織與機構在規(guī)劃、實施軟件供應鏈安全近年來軟件供應鏈安全問題備受關注，但軟件供應鏈安全范圍不清晰，定義模糊，涉及技術和安全類型復雜。本書結合安全形勢，抓住軟件供應鏈安全的核心，預測了軟件供應鏈安全的發(fā)展趨勢，對軟件供應鏈不斷的發(fā)展和演進，當前軟件供應鏈安全面臨著帶來復雜度和管理難度。包括安全漏洞等治理難度增加供應鏈投毒危害較大。3.非技術因素也在影響軟件供在這個信息化迅速發(fā)展的時代，軟件已經(jīng)變得無處不在，從基礎設施到日常設備，軟件都在默默支撐著我們的生活和工作。然而，隨著軟件在全球范圍內(nèi)的普遍軟件供應鏈安全，簡而言之，是確保軟件的開發(fā)、分發(fā)和維護過程中，確保軟件及其組成部分（包括源代碼、庫和組件）不受到威脅行為者的惡意攻擊或利用的一種安全策略。在當下全球化和模塊化的軟件開發(fā)趨勢下，軟件供應鏈的復雜性日益增加，無疑為軟件供應鏈安全帶來了更大的挑戰(zhàn)。從最近幾年連續(xù)發(fā)生的軟件供軟件供應鏈安全的問題對我們的影響是深遠的。其問題不僅可能影響軟件的正常運行，還可能對使用者、公司，甚至是整個社會造成深遠影響。各地政府和企業(yè)也都已經(jīng)意識到這個問題的嚴重性，并開始尋求解決方案，但由于軟件供應鏈的全在這份報告中，我們將從全球視野出發(fā)，深度剖析軟件供應鏈安全的當前狀態(tài)、主要問題、風險因素和應對策略。我們將重點介紹如何在軟件供應鏈的各個環(huán)節(jié)，從設計開發(fā)到部署和維護中實現(xiàn)安全防護，以及如何利用最新的技術和工具提在數(shù)字化進程日益加速的今天，軟件供應鏈安全不僅是一個技術問題，更是一個戰(zhàn)略問題。同時，軟件供應鏈安全不是一個短期可以解決的問題，它需要我們持續(xù)的努力和投入。希望通過我們的分析和洞察，能夠為行業(yè)從業(yè)者提供有價值的信2軟件供應鏈安全現(xiàn)狀分析2.1市場動態(tài)分析2.2技術發(fā)展現(xiàn)狀2.3政策法規(guī)要求3軟件供應鏈安全風險分析3.1軟件供應鏈的構成要素維度分析3.2軟件開發(fā)生命周期階段維度分析3.3軟件供應鏈威脅行為類別維度分析3.4軟件供應鏈安全風險影響范圍分析4軟件供應鏈攻擊類型分析4.1開發(fā)階段攻擊類型分析4.1.1開發(fā)工具污染攻擊4.1.2CI/CD流程攻擊4.1.3源代碼篡改攻擊4.1.4第三方依賴攻擊4.1.5依賴混淆攻擊4.2分發(fā)階段攻擊類型分析4.2.1篡改分發(fā)渠道攻擊4.2.2篡改安裝包攻擊4.3部署階段攻擊類型分析4.3.1惡意代碼插入4.3.2篡改配置攻擊4.4維護階段攻擊類型分析4.4.1劫持更新攻擊4.4.2利用陳舊組件攻擊5軟件供應鏈安全風險治理指南5.1軟件供應鏈風險治理體系建設225.2軟件供應商風險管理225.3軟件開發(fā)生命周期（SDLC）風險治理指南245.3.1需求分析階段245.3.2設計分析階段255.3.3研發(fā)測試階段255.3.4發(fā)布部署階段325.3.5運行維護階段345.3.6廢棄下線階段386軟件供應鏈安全落地實踐方案6.1懸鏡數(shù)字供應鏈安全方案在某金融機構的落地實踐416.2某能源集團軟供安全漏洞自動挖掘和修復落地實踐486.3源碼級軟件供應鏈安全解決方案落地實踐516.4某大型制造國有企業(yè)應用系統(tǒng)全生命周期安全管理596.5CodePecker軟件供應鏈安全解決方案助力某金636.6軟件供應鏈安全測試解決方案落地實踐666.7某頭部金融機構UniSCA軟件供應鏈安全管理平臺697軟件供應鏈安全未來發(fā)展趨勢7.1加大安全自動化和AI應用的投入7.2加強供應商安全審查和監(jiān)管力度7.3采用更先進的加密和身份驗證技術7.4推行實施更嚴格的政策和法規(guī)7.5實現(xiàn)行業(yè)內(nèi)生態(tài)合作和共享7.6利用體系化解決方案提升安全效能和可行性 02安全性：安全性是軟件供應鏈安全最基礎也是最關始終保持原始的完整狀態(tài)。這不僅需要在軟件傳輸和存儲過程中保證數(shù)據(jù)的完整性，也需要在軟件修會因為各種原因被削弱或破壞。03等環(huán)節(jié)。透明性可以幫助檢測和防止不良行為，增加信任以及提供有價值的信息來改進軟件供應鏈的持續(xù)性：持續(xù)性是指軟件供應鏈的安全管理是一個持續(xù)不斷的過程，而不是一次性的工作。隨著技術大約1990s大約1990s發(fā)展1990s-2000s1990s-2000s云計算和DevOps時代04開始看到有關軟件供應鏈安全的標準開始被提出和制定，例如，軟件供應鏈安全的開放標準SWID標簽0206供應鏈攻擊的增加：隨著黑客和網(wǎng)絡犯罪團伙的技術手段日益精進，供應鏈攻擊的數(shù)量正在急劇072.2I技術發(fā)展現(xiàn)狀安全漏洞和惡意代碼。082.3I政策法規(guī)要求復雜的網(wǎng)絡環(huán)境和日益嚴重的網(wǎng)絡攻擊威脅使得網(wǎng)絡安全問題異常復雜，許多問題無法僅靠技術手段解0903部署環(huán)境風險：軟件部署環(huán)境的安全問題也會直接影3.2I軟件開發(fā)生命周期階段維度分析3.3I軟件供應鏈威脅行為類別維度分析3.4I軟件供應鏈安全風險影響范圍分析04CI/CD流程攻擊·典型案例分析：·典型案例分析：XcodeGhost攻擊事件這次攻擊被稱為影響最大的iOS系統(tǒng)的惡意軟件攻擊之一，凸顯了攻擊者是如何利用開發(fā)者對開發(fā)工具4.1.2CI/CD流程攻擊 ·典型案例分析：CodecovBashUploader安全事件4.1.3源代碼篡改攻擊·典型案例分析：·典型案例分析：SolarWindsOrion供應鏈攻擊4.1.4第三方依賴攻擊·典型案例分析：·典型案例分析：Event-StreamNPM包篡改案這段惡意代碼的目標是針對特定的使用者：使用了Event-Stream并且包含Copay項目代碼的應用。4.1.5依賴混淆攻擊 ·典型案例分析：RubyGemsTyposquatting事件4.2I分發(fā)階段攻擊類型分析4.2.1篡改分發(fā)渠道攻擊·典型案例分析：·典型案例分析：ShadowPad攻擊在這次攻擊中，攻擊者首先入侵了NetSarang的軟件構建系統(tǒng)，然4.2.2篡改安裝包攻擊·典型案例分析：·典型案例分析：CCleaner攻擊事件4.3I部署階段攻擊類型分析4.3.1惡意代碼插入·典型案例分析：·典型案例分析：ShadowHammer攻擊4.3.2篡改配置攻擊·典型案例分析：·典型案例分析：VPNFilter惡意軟件攻擊4.4I維護階段攻擊類型分析4.4.1劫持更新攻擊·典型案例分析：·典型案例分析：NotPetya勒索軟件攻擊攻擊者首先對烏克蘭一家軟件公司MEDoc的更新服務器進行了攻擊，并在其更新程序中植入了4.4.2利用陳舊組件攻擊·典型案例分析：·典型案例分析：WannaCry勒索軟件攻擊在具體的攻擊過程中，WannaCry勒索軟件首先會通過互聯(lián)網(wǎng)尋找使用了未打補丁的Windows系統(tǒng)的 軟件供應商風險管理 軟件供應商風險管理5.2I軟件供應商風險管理供應商信息收集 制定評估標準進行供應商評估制定安全條款審查合同供應商管理階段 軟件供應商選擇階段供應商管理階段合同審查階段供應商風險處理階段合同審查階段建立監(jiān)控機制供應商安全審計制定風險處理策略執(zhí)行風險處理策略供應商信息收集：首先需要對軟件供應商的安全態(tài)勢有全面的了解5.3I軟件開發(fā)生命周期（SDLC）風險治理指南5.3.1需求分析階段從SDLC的需求分析階段開始就對軟件供應鏈安全風險進行治理，可以更早地識別和解決5.3.2設計分析階段可以使用STRIDE（Spoo?ng,Tampering,Repudi·進行安全原型驗證5.3.3研發(fā)測試階段SAST工具的主要目標是識別可能導致安全漏洞的代碼模式和行為，SAST工具合規(guī)性檢查：很多行業(yè)和地區(qū)有嚴格的代碼合規(guī)性要求，SAST工具可以自動檢查代碼是否符合這些精確性：IAST工具可以直接訪問應用程序的數(shù)據(jù)和控制流信息，因此其發(fā)現(xiàn)問題的精確性往往高于模糊測試技術的優(yōu)勢在于其能夠發(fā)現(xiàn)那些常規(guī)測試方法難以發(fā)現(xiàn)的潛在問題，如緩沖區(qū)溢出、內(nèi)存泄露題的能力。他們可以通過將SBOM數(shù)據(jù)與強大的軟件漏洞管理策略相結合來保護軟件供應鏈的完整性。5.3.4發(fā)布部署階段5.3.5運行維護階段自動化地模擬各種攻擊向量和威脅場景，來驗證和測量組織的網(wǎng)絡安全防御能力。BAS在現(xiàn)實世界中模擬攻零信任模型的工作原理是通過對所有用戶和設備進行持續(xù)且嚴格的身份驗證和權限管理，以保護網(wǎng)絡和持續(xù)驗證和監(jiān)視：零信任模型需要持續(xù)進行身份驗證和行為監(jiān)視，以防止任何未經(jīng)授權的訪問或惡意5.3.6廢棄下線階段0642·供應源頭治理階段43·研發(fā)過程治理階段44·上線運營治理階段4546473、DevOps平臺業(yè)務面臨中斷可能：Jenkins插件支持熱部署，不需要每次更新插件時都需要重啟486.2I某能源集團軟供安全漏洞自動挖掘和修復落地實踐49·安全咨詢服務·開發(fā)階段工具檢測6.3I源碼級軟件供應鏈安全解決方案落地實踐現(xiàn)了江西某銀行信息化建設及運營過程中的軟件供應鏈安全保障功能，其中主要集成了軟件成分分析功能模軟件供應鏈安全智能分析平臺的軟件成分分析功能模塊包括軟件資產(chǎn)分析功能、已知漏洞檢測軟件資產(chǎn)分析功能對企業(yè)內(nèi)部軟件資產(chǎn)進行源碼級細粒度的動態(tài)管理，并進行依賴關系關聯(lián)分析和統(tǒng)），軟件供應鏈安全智能分析平臺不僅支持文件與文件之間的比較，而3.供應鏈智能安全分析平臺與DevSecOps深度融合6.4I某大型制造國有企業(yè)應用系統(tǒng)全生命周期安全管理平臺項目結合該國企信息應用系統(tǒng)建設管理現(xiàn)狀，依據(jù)《信息安全技術網(wǎng)絡安全等級保護基本要求》（GB-T本項目圍繞應用系統(tǒng)的項目立項需求階段、系統(tǒng)開發(fā)階段、系統(tǒng)測試階段和系統(tǒng)運營階段等階段的安全周期安全檢測和軟件供應鏈安全保障。行代碼高危漏洞出現(xiàn)率千分之0.38，代碼整體缺陷中代碼質量缺陷占比67.22%，代碼安全風險類該項目經(jīng)過一年多時間的建設和優(yōu)化，建成一套應用系統(tǒng)全生命周期管理平臺、一套黑白灰安全測試工6.5ICodePecker軟件供應鏈安全解決方案助力某金融機構搭建通過為某金融機構相關的安全團隊進行技術賦能，主要提供基于語法樹和數(shù)據(jù)流的字節(jié)碼漏洞分析以軟開代碼檢查為內(nèi)核，通過酷德啄木鳥公司源代碼缺陷分析系統(tǒng)演進為某金融機構的代碼資產(chǎn)檢查平6.6I軟件供應鏈安全測試解決方案落地實踐目前軟件供應鏈由于開源和云原生時代的到來越來越趨于復雜化和多樣化，軟件供應鏈安全風險不斷加供應鏈軟件安全測試床環(huán)境構建過程中有如下挑戰(zhàn)：6.7