浅谈软件供应链安全治理趋势与最佳实践 目录CONTETS软件供应链安全风险面的分析01软件供应链风险治理思路分享03软件供应链安全风险事件总结02软件供应链安全创新实践案例04软件供应链安全技术发展趋势05 软件供应链安全风险面的分析01PART 软件供应链安全风险面的分析软件复杂度增加，软件供应链每一环节均存在风险软件供应链可以理解为一个链条，那么在链条上的每一个环节都可能产生安全威胁，由于软件设计缺陷和软件开发过程中产生的漏洞将沿着软件供应链的树状结构由上游向下游扩散，加大了软件供应链的安全风险，同时这也对软件的业务逻辑和安全质量控制及标准提出了更高的要求。 软件供应链安全风险面的分析在软件开发的设计阶段开发团队没有进行全面的威胁分析，加大软件的攻击面。软件编译器、开源软件以及源代码的恶意植入错误的架构设计或程序编码因安全检测不足而未被识别、软件的捆绑下载以及开发人员遗忘或故意留下的“后门”劫持软件更新的“渠道”、中间人攻击替换升级软件或补丁包，或诱骗用户从非官方渠道下载设计阶段编码阶段发布阶段运营阶段 软件供应链安全风险面的分析篡改或伪造组件的漏洞披着正规厂商“合法”的外衣，使伪造恶意代码组件在传播速度与产生的恶劣影响方面有了大幅度的提升。开源组件引入的漏洞开源组件带来的安全漏洞以及许可证风险。编码过程引入的漏洞开发人员在编写代码时，由于缺乏安全意识以及不良的编码习惯、实践和策略往往会引入一些安全漏洞以及测试预留账号等。合法供应商引入漏洞一个产品的产生需要引入一个或多个第三方供应商，第三方供应商的安全性通常难以得到保障。漏洞来源 软件供应链安全风险面的分析篡改或伪造组件的漏洞披着正规厂商“合法”的外衣，使伪造恶意代码组件在传播速度与产生的恶劣影响方面有了大幅度的提升。开源组件引入的漏洞开源组件带来的安全漏洞以及许可证风险。编码过程引入的漏洞开发人员在编写代码时，由于缺乏安全意识以及不良的编码习惯、实践和策略往往会引入一些安全漏洞以及测试预留账号等。合法供应商引入漏洞一个产品的产生需要引入一个或多个第三方供应商，第三方供应商的安全性通常难以得到保障。漏洞来源软件供应链安全风险事件总结02PART 软件供应链安全风险事件总结2015年9月爆发苹果开发工具XcodeGhost事件。攻击者利用当时通过官方渠道获取Xcode官方版本困难的情况，在非官方渠道发布的Xcode注入病毒，导致2500多款使用该工具开发的苹果APP被植入恶意代码，受影响的苹果IOS用户达到1.28亿。左图为国内用户测试发现的受影响APP。（图片来源于网络，如有错误请联系我） 软件供应链安全风险事件总结2020年12月13日，发现了基础网络管理软件供应商SolarWinds Orion软件在2020年3-6月期间发布的版本均受到供应链攻击的影响。攻击者在这段期间发布的2019.4-2020.2.1版本中植入了恶意的后门应用程序。这些程序利用SolarWinds的数字证书绕过验证，与攻击者的通信会伪装成Orion Improvement Program（OIP）协议并将结果隐藏在众多合法的插件配置文件中，从而达成隐藏自身的目的。12月14日，SolarWinds在提交给美国证券交易委员会（SEC）的文件中表示，在其30w+客户中，大约有33,000名是Orion客户，这其中大约又有18,000名客户安装了带有后门的 Orion 软件。同时SolarWinds称入侵也损害了其Microsoft Office 365帐户。 软件供应链安全风险事件总结2021年10月23-26日：SonarQube 大量源码泄露23日：疾控中心 HIS 源码。25日：梅赛德斯-奔驰中国部分开发源码。26日：公安系统的医疗，保险，人事的 SRC 源码攻击者可利用该漏洞通过API设置值URI，发现明文的SMTP和GitLab凭证(tocken)等敏感信息泄露，可导致gitlab中项目的代码可以被任意clone下载。但是在2020年10月份,FBI就发出警告：“从2020年4月开始，FBI 就发现了和不安全的 SonarQube 实例相关的源代码泄漏事件，这些源代码来自政府和企业，遍布技术、金融、零售、视频、电子商务和制造行业。” 软件供应链安全风险事件总结2021年10月23-26日：SonarQube 大量源码泄露23日：疾控中心 HIS 源码。25日：梅赛德斯-奔驰中国部分开发源码。26日：公安系统的医疗，保险，人事的 SRC 源码攻击者可利用该漏洞通过API设置值URI，发现明文的SMTP和GitLab凭证(tocken)等敏感信息泄露，可导致gitlab中项目的代码可以被任意clone下载。但是在2020年10月份,FBI就发出警告：“从2020年4月开始，FBI 就发现了和不安全的 SonarQube 实例相关的源代码泄漏事件，这些源代码来自政府和企业，遍布技术、金融、零售、视频、电子商务和制造行业。”软件供应链风险治理思路分享03PART 软件供应链风险治理思路分享软件开发生命周期软件生存运营周期 软件供应链风险治理思路分享软件安全开发生命周期（SDL），是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。SDL将软件开发生命周期划分为7个阶段（如图所示），并提出了17项重要的安全活动，旨在将安全集成在软件开发的每一个阶段，以减少软件中漏洞的数量并将安全缺陷降低到最小程度。SDL更侧重的是软件开发的安全保障过程，旨在开发出安全的软件产品。 软件供应链风险治理思路分享DevSecOps是2017年美国RSAC大会上新提出的一个概念，这是一种全新的安全理念和模式，由DevOps的概念延伸和演变而来。其核心理念是安全是整个IT团队每个人的责任，需要贯穿从开发到运营整个业务生命周期每一个环节才能提供有效保障。DevSecOps覆盖编码阶段、测试阶段、预发布阶段、发布阶段、线上运营阶段，强调自动化与平台化，由CI/CD平台推动整个开发和运营流程自动化。DevSecOps依赖于DevOps流程工具链（如图所示），将威胁建模工具、安全编码工具、安全测试工具、容器安全检测工具、基线加固工具、漏洞管理工具等自动化工具无缝集成到DevOps流程中，进而实现开发-安全-运营一体化。 软件供应链风险治理思路分享瀑布模型敏捷模型DevOps设计开发测试部署瀑布式开发敏捷开发DevOps传统SDL面临的安全挑战l业务先上线，安全问题后补救l安全责任过于依赖有限安全团队资源l安全较缓慢，常置于流程之外，当版本更新快时，传统安全手段影响业务交付l责任：安全是每个人的责任l嵌入流程：开发运维l柔和嵌入研发运维流程，自动化l自动化流程，人更趋向于运营反馈处理l适用于周期较短，迭代较快的业务DevSecOps新特性 软件供应链风险治理思路分享软件供应链安全治理-设计阶段•标准确立：结合企业的实际情况，构建软件供应商评估模型，制定软件供应商考核的评估标准及安全框架；•资格评估：根据制定的软件供应商评估模型和相关标准，对初步符合要求的软件供应商进行多维度的综合性资格评估，选出匹配度最高的供应商；•风险评估：对通过资格评估的软件供应商进行安全风险评估，针对软件供应商面临的潜在的安全风险、存在的弱点以及有可能造成的影响综合分析其可能带来的安全风险评估；•风险监控：对软件供应商实施长期性的安全风险监控，持续识别和管理软件供应商的安全风险，根据监测结果实施更新对软件供应商的风险管理策略。 软件供应链风险治理思路分享软件供应链安全始于对关键环节的可见性，企业需要为每个硬件、应用程序持续构建详细的SBOM（Software Bill of Material，软件物料清单）（如图所示），从而全面洞察每个应用软件的组件情况。SBOM是描述软件包依赖树的一系列元数据，包括供应商、版本号和组件名称等多项关键信息，这些信息在分析软件安全漏洞时发挥着重要作用。软件供应链安全治理-编码阶段 软件供应链风险治理思路分享软件成分分析（Software Composition Analysis ，SCA）是一种对二进制软件的组成部分进行识别、分析和追踪的技术。SCA可以生成完整的SBOM，分析开发人员所使用的各种源码、模块、框架和库，以识别和清点开源软件（OSS）的组件及其构成和依赖，并精准识别系统中存在的已知安全漏洞或者潜在的许可证授权问题，把这些安全风险排除在软件的发布上线之前，也适用于软件运行中的诊断分析。软件供应链安全治理-构建阶段 软件供应链风险治理思路分享软件供应链安全治理-测试阶段IAST主要关键技术：插桩检测模式 + 流量检测模式 + 实时Web日志无需专业技术背景，普通测试人员透明众测完成业务安全测试透明部署，不影响正常测试工作和用户使用流程。旁路部署不影响正常业务流执行和通信效率。 软件供应链风险治理思路分享发布运营阶段包括监测告警、应急响应、事件处置、持续跟进等关键活动。在日常的运营管理中，企业可以通过采用自动化分析技术对数据进行实时统计分析，发现潜在的安全风险，并自动发送警报信息。在有突发事件出现时，通过监测预警，安全人员可以迅速地进行安全响应、在最短的时间内确定相关解决方案并进行事件处置，在解决之后进行经验总结并改进。通过检测预警技术对软件系统进行实时自动检测，当发现安全问题时，立即发出警告，同时实现信息快速发布和安全人员的快速响应。软件供应链安全治理-运营阶段（体系） 软件供应链风险治理思路分享BAS（入侵与攻击模拟）通过模拟对端点的恶意软件攻击、数据泄露、恶意软件攻击和复杂的APT攻击，测试组织的网络安全基础设施是否安全可靠，在执行结束时，系统将生成关于组织安全风险的详细报告，并提供相关解决方案。同时结合红队和蓝队的技术使其实现自动化和持续化，实现实时洞察组织的安全态势。软件供应链安全治理-运营阶段（工具） 软件供应链风险治理思路分享WAF通过增强输入验证，可以在运营阶段有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为，从而减小Web服务器被攻击的可能性。同时，WAF还可以判断用户是否是第一次访问，将请求重定向到默认登录页面并且记录时间，通过检测用户的整个操作行为可以更容易识别攻击。软件供应链安全治理-运营阶段（工具） 软件供应链风险治理思路分享RASP将保护代码像一剂疫苗注入到应用程序中，与应用程序融为一体，使应用程序具备自我保护能力。RASP结合应用的逻辑及上下文，对访问应用系统的每一段堆栈进行检测，当应用程序遭受到实际攻击和伤害时，RASP可以实时检测和阻断安全攻击，无需人工干预，最终实现软件应用的自我保护，确保软件应用的安全运行。软件供应链安全治理-运营阶段（工具） 软件供应链风险治理思路分享威胁情报平台（TIP），可以帮助安全人员明确企业的在线资产和安全状况，根据企业自身资产的重要程度和影响面，进行相关的漏洞修补和风险管理；同时可以帮助安全人员了解企业自身正在遭受或未来面临的安全威胁，提供解决建议。软件供应链安全治理-运营阶段（工具） 软件供应链风险治理思路分享容器安全工具可以自动化构建容器资产相关信息，提供容器环境中各类资产的状态监控，包括容器、镜像、镜像仓库和主机等基础资产信息，使资产拥有较强的可扩展能力；通过建立智能应用补丁扫描工具，为安全人员提供镜像管理、镜像检测以及自动化补丁修复建议。软件供应链安全治理-运营阶段（工具） 软件供应链风险治理思路分享•悬镜安全大脑•行业情报同步•BAS攻击模拟交付阶段开发阶段安全运营阶段风险知识库统一上线发布流程公司级 SBOM基于下一代积极检测防御技术，帮助企业打通开发-交付-运营，提升强化溯源能力、降低排查成本、提高重大漏洞响应速度，落地供应链安全治理体系。威胁持续感知风险响应评估部门/项目通知职责分配修复方案研发修复架构设计代码编写构建打包制品生成测试部署应用分发部署运行安全制品库•组件-应用-人员，信息关联•修复方案建议•漏洞分级制度•分级处置流程•风险组件覆盖•对接OA、工单、邮件推送•相关人员建群