软件供应链安全技术白皮书

软件供应链安全技术白皮书透视软件供应链，携手应对安全挑战透视软件供应链，携手应对安全挑战软件供应链安全技术白皮书 软件供应链安全技术白皮书2关于绿盟科技绿盟科技集团股份有限公司（以下简称绿盟科技），成立于2000年4月，总部位于北京。公司于2014年1月29日在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有50余个分支机构，为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业的中国品牌。中国网络空间新兴技术安全创新论坛，（简称“新安盟”，“CCSIA”），在中国产学研合作促进会的指导下成立，由中国工程院方滨兴院士担任理事长，中国科学院信息工程研究所作为秘书长单位，主要任务是应对新兴技术及其应用给网络空间安全带来的机遇和挑战，汇聚行业内各方力量，推动核心技术突破、产品和服务创新。版权声明为避免合作伙伴及客户数据泄露,所有数据在进行分析前都已经 过匿名化处理,不会在中间环节出现泄露,任何与客户有关的具体信息，均不会出现在本报告中。 推荐序软件供应链安全作为现代供应链安全的重点考虑因素之一，是保障我国新基建稳步建设和落实网络强国战略的重要领域。软件供应链安全需要重点关注以下两点。一是要靶向聚焦、着力剖析供应链风险产生的内部动因和运行机理。近年来，供应链安全事件频发。随着SDX和低代码等技术在数字化转型浪潮的广泛应用，软件开源组件化将成为势在必行的技术演进方向，而由于其本身的软件生产机制特征，网络安全风险的攻击面及风险环节会呈现发散和无规则逻辑状态，因此供应链风险的内部动因和运行机理尤其是业务数字化的内涵值得网安领域重点关注。二是勿管中窥豹、从广义供应链安全的观测视角提出软件供应链风险对策。以供应链所在行业为中心视角研究软件供应链安全问题是一种挑战，行业发展对象将愈发依赖于数字化转型，原有的安全业务和业务安全范式都将被重塑。因而，以数字业务化作为观测出发点，以广义供应链安全作为观测着力点，以软件供应链安全作为观测落脚点，各行各业对网络安全产业的保驾护航定位将会更加明确。作为业界领先的网安代表性企业，在新安盟指导下，绿盟主持撰写的软件供应链安全白皮书将带来一个崭新的全景视角，具有积极的借鉴价值，为网安行业的政产学研用健康生态如何推动提供有意义的模式示范。中国科学院大学教授 翟立东 CONTENTS执行摘要 0011ﾠ软件供应链安全威胁与趋势 0031.1 软件供应链面临的安全威胁 0041.2 软件供应链攻击的发展趋势 0072ﾠ供应链安全国内外形势 0102.1 国内外供应链安全政策与发展 0112.2 国内外供应链安全标准与实践 0153ﾠ软件供应链安全技术框架 0193.1 软件供应链安全 0203.2 软件供应链安全理念 0213.3 软件供应链安全技术框架 0274ﾠ软件供应链安全关键技术 0284.1 软件成分清单生成及使用技术 0294.2 软件供应链安全检测技术 0394.3 软件供应链数据安全技术 054 5ﾠ软件供应链安全解决方案 0585.1 供应链安全监督 0595.2 供应链安全管控 0676ﾠ行业、企业最佳实践 0806.1 银行业金融机构信息科技外包安全实践 0816.2 交通运输企业供应链安全监督检查实践 0827ﾠ典型供应链攻击案例复盘 0857.1 IT管理供应商SolarWinds供应链攻击事件 0867.2 开源软件安全风险Log4j2漏洞事件 0888ﾠ软件供应链安全总结与展望 091附表：软件供应链安全风险表 093 软件供应链安全技术白皮书001执行摘要习近平总书记在二十国集团领导人第十六次峰会第一阶段会议发表的重要讲话中强调：“要维护产业链供应链安全稳定，畅通世界经济运行脉络。”作为世界第二大经济体，我国在世界局势不断变化的今天依靠自身供应链韧性保持了强有力的经济增长与制造业产业转型升级持续稳步推进。信息和通信技术（Information and Communications Technology，简称ICT）供应商、第三方供应商、集成服务企业和服务提供商共同组成的 ICT 产业链承担着我国产业从工业化向数字化转型升级的重要任务。2018 年以来，中兴、华为、大疆等一系列事件，暴露出我国ICT产业链上游核心技术受制于人的问题，缺乏核心技术使我国网络安全与信息化建设存在巨大的风险与阻碍。尤其在近期俄乌冲突期间，西方社会对俄罗斯进行了全方位的制裁，同时将ICT供应链制裁上升到了战略层面对俄罗斯进行打击，这一行为也为我国敲响了警钟。软件供应链作为ICT供应链的重要组成部分，是各类关键信息基础设施平稳运行的重要基础，其关键组件的设计、开发、部署、监控和持续运营等生命周期核心环节供给过程的安全可控成为网络安全的关键考量因素。绿盟科技推出软件供应链安全技术白皮书，旨在从软件供应链安全威胁与国内外形势来梳理软件供应链中存在的安全问题，提炼出软件供应链安全治理的核心理念、技术框架、关键技术，并从供应链安全监管和控制方面给出解决方案和最佳实践，期望为读者带来全新的技术思考，助力我国软件产业发展。本技术白皮书的主要观点如下：观点1： 软件供应链威胁存在于软件供应链的全生命周期中，攻击的手段和实施的途径相较其他攻击技术手段更加多元化，且难以防范。近几年软件供应链攻击安全事件激增，软件供应链攻击已经成为重要的突破手段，其中利用开源社区、公共开源存储仓库这类开源软件生态入侵事件尤为严重。开源软件供应链安全不可忽视，其重要性日渐凸显。观点2： 近年来，政府在供应链安全领域发挥着越来越重要的影响，但除积极方面之外，以美国为首的部分发达国家政府在其中注入了过多地缘政治因素的考量，甚至将其制定相关法规的权力作为国际竞争的工具，使其风险从通常意义上的网络安全风险上升为供应链断供风险。另一方面，面对发达国家以法令出台、贸易制裁、技术出口等手段带来的供应链跨境安全管控风险，中国、俄罗斯等国家立足国情，集中优势资源开展核心技术攻关，提升自研自制能力，补齐短板、发展优势能力，加强对供应链产品和服务的安全审查，逐步建立和完善供应链安全风险管理体系。 002执行摘要观点3： 为应对软件供应链的威胁，上游企业需要构建自身产品的软件成分清单来梳理软件供应链信息，向下游企业和用户清晰、透明的提供管理软件供应链所需要的基础条件。软件成分清单依据识别成分的粒度，可以分为不透明、微透明、半透明和透明几个阶段。透明程度高的软件成分清单，能显著提升最终用户进行软件供应链安全评估的准确性。观点4： 软件供应链安全包括整个软件的开发生命周期，在开发阶段漏洞的引入不止在代码编写阶段，还有所依赖的开源组件、开发和构建工具等，依照软件的开发和构建过程，企业需要建设开发过程安全评估能力。在软件交付阶段，作为供应商，除保证交付软件安全外，也应将软件成分清单一并交付给下游企业，促使整个软件供应链的上下游都具备依据安全通报、威胁情报监控等第三方信息能够分析、评估软件供应链安全的基本条件。供应链软件产品交付运行后，供应商应在产品的生命周期内提供安全保障服务，对产品漏洞及时修复，最终用户也应根据供应商所提供的软件成分清单纳入企业资产管理范围，定期对资产进行安全评估，结合漏洞预警，对受影响的产品进行加固和修复。观点5： 软件供应链风险贯穿了产品的整个生命周期，结合近年来所发生的供应链攻击和入侵事件，我们需要从监管层面加强供应链产品安全认证管理，提供企业软件SBOM托管和可信认证服务，企业也需要完善供应链资产管理和安全检查，可借助SBOM知识图谱理清企业供应链依赖关系，从而在监测到预警时能够从容应对。观点6： 软件供应链在不断的技术迭代与产业发展中逐渐形成了包含复杂技术体系、多元产品组件及各路开发者、供应者与消费者为一体的庞大产业生态，大量新技术的引入令软件风险防护范围从个体层面提升至供应链层面，安全视角发生了重大变化。整个软件供应链缺乏有效的统筹与管理，将安全建设寄托于技术人员的自我道德约束无疑是一种“赌博”。我们急需建立供应链安全管理机制，杜绝“自我约束”的无监管行为。通过政策引导与配套法律建设保证软件供应链安全能够牢牢的把握在中国人自己手中，形成可信的软件供应链体系，真正造福社会。 1软件供应链安全威胁与趋势 004软件供应链安全威胁与趋势1.1 软件供应链面临的安全威胁经济全球化发展给企业发展带来了更多机遇和成长，基于价值链的实现，促进了供应链的全球化，多样化和复杂化，同时如何管理供应链的问题给企业带来了更大的挑战和威胁。软件供应链涉及环节复杂，流程和链条长，供应商众多，暴露给攻击者的攻击面越来越多，攻击者利用供应链环节的薄弱点作为攻击窗口，供应链的各个环节都有可能成为攻击者的攻击入口。既有传统意义上供应商到消费者之间供应链条中信息流的问题，也有系统和业务漏洞、非后门植入、软件预装，甚至是更高级的供应链预制问题。从软件供应链全生命周期考虑，可以简单分为上游安全、开发安全、交付安全、使用安全和下游安全，安全威胁存在于软件供应链的全生命周期中。一、软件供应链上游安全为实现业务需求的独特性，很多公司需要根据业务需求开发定制化软件或者使用云服务产品，可能会使用软件供应商或者云服务提供商的产品，那么公司对于上游企业面临的风险是否有考虑到呢？比如采购上游企业的软件产品，软件供应商是否能保证对软件使用的核心组件可信且组成清晰，在爆发软件内部漏洞的事情下，具备快速的定位组件风险的能力。软件在面临外部攻击风险时，是否具备一定的抗攻击能力，至少不会漏洞百出。不管是内部漏洞还是外部攻击，软件供应商是否有能力快速定位到漏洞，及时评估漏洞、代码的风险，能提供持续的更新能力。上游企业安全评估能力强，那么将更好的预防风险发生，安全评估能力弱，随之而来的存在脆弱性风险的可能也将增加。尤其关键数据泄露是重中之重，关注上游软件评估中关键数据的权限范围、证书管理等能力，成为企业选择上游企业的关键因素。当然也应当保证软件供应链的持续性，不能因为软件产品中组件或者环境因素，影响业务，比如云服务商的SaaS、PaaS等服务的中断可能性。在上游软件供应链安全中，另一大安全风险是开源安全。开源软件的使用，一定程度上推动了技术的发展，提高了创新的可能性，但是另一方面，国际环境的复杂性，开源软件又具备代码公开、易获取和可重用的特点，使开源软件面临更大的风险，比如开源组件、框架的漏洞、缺陷逐渐增加，且开源软件分布在各大社区，使用范围略广，然而漏洞信息却不能及时被官方收录，使得漏洞的跟踪能力和整改能力降低，上游企业是否具备管控开源软件的能力呢？除此之外，开源软件隐形依赖关系使不同开源软件之间存在合规性和兼容性风险，从而引发知识产权风险，且隐形依赖关系增加了漏洞发现、修复的难度，为保障开源组件、 软件供应链安全技术白皮书005框架的稳健性，将提高其维护、修复和应对能力。如果没有提前考虑到采购前的风险点以及应对能力，那么很可能，在爆发软件攻击或者漏洞的情况下，不能快速定位软件风险点，及时遏制住风险的扩散，快速的更新软件问题，那么影响的将会是使用此软件的所有客户企业群体，带来的更加直观的损失将会是小到影响业务正常运行，大到财务损失，更甚者是客户企业的存亡问题。二、软件供应链开发安全在软件开发过程中，如果开发者为了提高工作效率，并没有在设计之初将安全考虑在内，将导致后期安全问题的出现，增加整改的成本和难度。从安全角度考虑软件开发阶段简单分为开发环境安全、开发过程安全和编译构建安全三个阶段。在软件开发阶段，需要借助提前准备的工具进行编程实现业务功能，作为开发过程的一个重要环境，如何选择开发工具将尤为重要，一旦开发工具遭到污染，使用了不安全的开发工具，那么开发完成的软件很大可能性同样存在安全风险。此外，开发环境以及CI/CD集成环境遭到污染，都有可能导致代码存在被篡改、恶意植入等风险问题，甚至