软件供应链安全治理与运营白皮书（2022）

法律声明此报告为悬镜安全、ISC 与中国电信研究院联合制作，报告中的文字、图片、表格等版权均为悬镜安全、ISC与中国电信研究院共同所有。任何组织、个人未经悬镜安全、ISC 与中国电信研究院授权，不得转载、更改或者以任何方式传送、复印、派发该报告内容，违者将依法追究法律责任。转载或引用本报告内容，不得进行如下活动： 不得擅自同意他人转载、引用本报告内容。 不得引用本报告进行商业活动或商业炒作。 本报告中的信息及观点仅供参考，悬镜安全、ISC 与中国电信研究院对本报告拥有最终解释权。 关于悬镜安全关于 ISC关于中国电信研究院参编机构悬镜安全，DevSecOps 敏捷安全领导者。起源于北京大学网络安全技术研究团队“XMIRROR”，创始人子芽。专注于以代码疫苗技术为内核，通过原创专利级 " 全流程软件供应链安全赋能平台 + 敏捷安全工具链”的第三代 DevSecOps 智适应威胁管理体系，持续帮助金融、车联网、泛互联网、能源等行业用户构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。悬镜安全官网：https://www.xmirror.cn/ISC 是亚太地区乃至当今世界规格高、辐射广、影响力深远的全球性安全峰会。自 2013 年举办首届以来，九年间已围绕网络空间治理、数据安全、威胁情报等前沿领域安全问题，举办超 20场国际峰会，设立超300场分论坛，输出超2000个行业前沿议题。吸引来自中国、美国、俄罗斯、以色列、德国等全球 30 多个国家的 2000 余位政要、行业领袖、网络安全专家深度参与，共话全球网络安全生态。已经成为专业性、权威性、全球性的中国网络安全产业名片。ISC 官网：https://isc.360.com/中国电信研究院是中国电信集团公司为适应集团发展和需要而组建的重要科研机构，伴随着通信技术的发展已传承六十余载，一直秉承着中国电信企业发展引擎、技术灯塔、决策智库的定位，承担通信行业创新产品的研发与落地、前瞻技术与应用的研究与攻关、企业运营中业务与技术方向的决策支撑、安全领域全链条的研发与推广的使命，研发创新涵盖 5G、云计算、人工智能、大数据、物联网、安全等多个领域。悬镜安全、ISC、中国电信研究院 导语INTRODUCTION 数字化时代，软件定义万物，已逐渐成为支撑社会正常运转的最基本元素之一。随着软件开发过程中开源应用的使用越来越多，开源应用事实上逐渐成为了软件开发的核心基础设施，混源软件开发也已成为现代应用主要软件开发交付方式，开源应用的安全问题也已被上升到基础设施安全和国家安全的高度来对待。 软件供应链开源化，导致影响软件全供应链的各个环节都不可避免受到开源应用的影响。尤其是开源应用的安全性问题，将直接影响采用开源应用的相应软件供应链的安全。除了开源应用开发者因疏忽导致的开源应用安全缺陷，还可能存在具有非法目的开发者故意预留的开源应用安全缺陷，甚至还有恶意攻击者伪造的含有隐藏性恶意功能的异常行为代码被故意上传到上游开源代码托管平台，实施定向软件供应链攻击。上述开源应用中存在的众多安全问题，导致软件供应链的安全隐患大大增加，安全形式更加严峻。 而现代软件应用的供应链非常复杂，软件供应链安全管理是一个系统工程，亟需从国家、行业、机构、企业各个层面建立软件供应链安全风险的发现能力、分析能力、处置能力、防护能力，整体提升软件供应链安全管理的水平。为此，需要开展全方位的软件供应链安全检测防御方法和技术研究。第一，开展软件成分动态分析及开源应用缺陷智能检测技术研究，突破高效高准确性的开源应用安全缺陷动态检测技术的瓶颈，解决基于全代码遍历和代码片段级克隆技术比对的应用安全检测难题，进一步实现对全球开源应用的全面安全检测，从源头堵住软件供应链安全隐患的源头。第二，建立全球开源应用的传播态势感知和预警机制，攻克软件供应链中软件来源多态追踪技术，实现对供应链各环节中软件来源的溯源机制。通过软件来源多态追踪技术监控开源应用的使用传播和分布部署态势，全面把握有缺陷的开源应用传播和使用渠道，实现对全球开源应用及其安全缺陷的预测预警。第三，建立国家级/行业级软件供应链安全监测与管控平台，具备系统化、规模化的软件源代码缺陷和异常行为代码分析、软件漏洞分析、开源软件成分及风险分析等关键能力，为关键基础设施、重要信息系统用户提供日常的自查服务，及时发现和处置软件供应链安全风险。第四，严格管控软件供应链上游，尤其重点管控开源应用的使用，积极推动代码疫苗、SCA、区块链和SBOM等新技术和标准在软件供应链安全领域的推广和应用，从根本上提供软件供应链安全的可靠保障。 随着AI和自动化恶意攻击技术不断升级，专门针对软件供应链的攻击趋势明显加强，软件供应链已经成为网络空间攻防对抗的焦点，直接影响关键基础设施和数字经济安全，这也是为何中国第一届“DevSecOps敏捷安全大会”（DSO2021）的主题被定为“安全从供应链开始”的主要原因，也是我们本次发布《软件供应链安全治理与运营白皮书（2022）》的主要驱动力。 此外，作为国内DevSecOps软件供应链安全的主要推动力量之一，从2016年初开始，我和悬镜创始团队就一直希望能有机会结合自身在这几年的前沿技术创新研究和行业应用实践沉淀，可以对软件供应链安全的治理与运营及DevSecOps敏捷安全体系的演进做一个系统性的梳理，并分享我们这些年在不同典型用户场景探索的落地实践经验。因此，沉淀了我们近5年创新技术研究与全球敏捷安全应用实践经验的《DevSecOps敏捷安全》书籍应运而生。希望在这个新涌现新变化的前沿技术领域，我们悬镜团队和业界同行一起，凭借长期的技术积累和突破来推动中国自己的安全产业向新的未知空间做更深层次地探索，为产业搭建一个汇集“国家、行业、机构、企业“等综合力量且“同向、同心”的软件供应链安全保障生态体系变得愈发重要。2022年7月 7网络安全关乎着国家安全、企业安全，近年来一直备受重视。尤其是云原生、AI、物联网等技术的不断更新发展与应用，既推进了信息安全产业的快速发展，也衍生了更多的安全威胁。软件供应链安全作为网络安全的重要部分，近年来爆发的安全问题也越来越凸显。了解软件供应链安全的相关内容、探究安全治理与运营解决方案，是企业组织防患于未然的重要举措。 2021 年悬镜安全联合中国信通院发布了《软件供应链安全白皮书（2021）》，详细介绍了软件供应链安全现状、安全风险分析、安全治理办法及安全实践等内容，对软件供应链安全做了框架性的梳理。鉴于近年来软件攻击链安全事件高发，如何治理是众多企业亟需填补的理论洼地，对本模块加深认知才能占领实现软件供应链安全的制高点。基于此，悬镜安全与ISC及中国电信研究院联合发布了《软件供应链安全治理与运营白皮书（2022）》，重点讲述软件供应链安全治理体系和开源威胁治理，不断丰富软件供应链安全链条，实现整体安全。 本文的撰写依托于众多参考文献，融合悬镜安全、ISC 与中国电信研究院的专家经验。编撰过程难免有所疏漏，欢迎广大读者批评、指正，共同推进软件供应链安全的发展。前言 目录CONTENTS1 软件供应链安全发展背景1.1 政策驱动下的软件供应链安全 1.1.1 国内外政策法规 1.1.2 国内外标准 1.2 软件供应链安全的重要性1428323437373840414343464749505151562281211336422 软件供应链安全现状2.1 软件供应链安全事件高发2.2 软件供应链风险典型特征2.3 开源软件供应链攻击不断增多2.4 软件供应链安全常见风险3 软件供应链安全面临的挑战3.1 开源技术的使用，安全风险加剧 3.1.1 安全漏洞风险 3.1.2 许可证合规及兼容风险3.2 云原生技术的兴起，复杂度增加3.3 软件供应链安全治理痛点4 软件供应链安全治理体系4.1 软件供应链安全治理框架 4.1.1 Google SLSA 框架 4.1.2 CNCF in-toto 框架 4.1.3 Microsoft SCITT 框架 4.1.4 软件供应链安全框架对比分析4.2 治理体系构建4.3 软件供应过程风险治理 4.3.1 软件来源管理 4.3.2 软件安全合规性评审 73835657575859596169697071747579818486878787889091919397100101108 4.3.3 软件资产管理 4.3.4 服务支持 4.3.5 安全应急响应4.4 人员管理4.5 软件开发生命周期安全风险治理 4.5.1 建设全流程安全开发管控 4.5.2 构建完善的开发运营安全工具链4.6 软件安全成熟度模型 4.6.1 可信研发运营安全能力成熟度模型 4.6.2 研发运营一体化（DevOps）能力成熟度模型 4.6.3 BSIMM5. 软件物料清单 SBOM5.1 SBOM 的重要性5.2 建立通用的 SBOM5.3 SBOM 的生成5.4 SBOM 的优势6. 开源威胁治理6.1 开源软件安全风险6.2 开源威胁治理技术6.3 开源威胁治理的前提 6.3.1 树立开源风险意识 6.3.2 明确开源治理规范 6.3.3 建立开源治理制度体系6.4 开源威胁治理阶段6.5 开源的 SCA 工具 6.5.1 Snyk Open Source 6.5.2 OpenSCA 6.5.3 Veracode SCA 6.5.4 Dependency-Check 6.5.5 不同工具对比6.6 商业化的 SCA 工具 8 总结7 软件供应链安全治理发展趋势7.1. 软件物料清单（SBOM）将得到更多实践7.2 供应链和开源安全将成为容器安全中的新热点7.3 开源许可证风险将获得高度关注7.4 RASP 会成为软件供应链安全运营的核心工具113114115116112117 软件供应链安全发展背景01如今，敏捷开发模式下软件的开发以最快的速度将代码从 IDE 或 Git 存储库带到生产环境中，加快了部署速度，提升了业务系统上线的效率。但软件供应链的安全性对组织来说同样重要，因为任何一个安全漏洞都可能造成巨大的损失。然而，近年来攻击者利用软件供应链进行攻击的事件频发，攻击者通过一个安全漏洞就可以轻松访问上下游业务系统，这也是众多攻击者选择此类型攻击的原因。Gartner 分析指出，“到 2025 年，全球 45% 组织的软件供应链将遭受攻击，比 2021 年增加了三倍。”可见，软件供应链的安全威胁将越来越严重。网络安全关乎着企业是否正常运转，是国民经济能否正常运行的重要前提，而软件供应链安全作为网络安全的重要组成部分，是实现网络安全的重要前提。 21.1 政策驱动下的软件供应链安全信息技术时代，软件是企业应用程序的重要组成基础，软件无处不在且扮演着越来越重要的角色。一旦软件出现安全问题，将会影响到整个业务系统的正常运行。然而随着软件产业的不断发展，软件供应链的复杂度不断增加，对于信息系统的安全带来了众多安全威胁。不过软件供应链安全意识也在不断完善，国内外政府相继出台了一系列法令法规，也制定了一系列的相关标准，对软件供应链安全做了明示，以指导企业机构等能更好的实现软件供应链安全，规避网络风险的发生。1.1.1 国内外政策法规1. 美国美欧等发达国家和地区在信息技术供应链安全管理领域起步较早，出台了大量政策法