“97%的金融服務(wù)/金融科技行業(yè)代碼庫包含開源�,其中超過60%的代碼庫存在漏洞��!备鶕(jù)公開數(shù)據(jù)顯示��,金融行業(yè)的軟件供應(yīng)鏈安全形勢十分嚴(yán)峻�,從源頭解決軟件開發(fā)安全問題、實現(xiàn)安全左移勢在必行�。
供應(yīng)鏈安全風(fēng)險繁雜 涵蓋技術(shù)、管理等多個環(huán)節(jié)
近年來�����,國內(nèi)外供應(yīng)鏈安全事件屢見不鮮��,例如大家所熟知的SolarWinds事件等���,導(dǎo)致包括美國關(guān)基��、軍隊��、政府在內(nèi)的18000多家客戶全部受到影響��,成為年度最嚴(yán)重的供應(yīng)鏈安全事件�����。在國內(nèi)����,部分軟件供應(yīng)商在開發(fā)過程中缺少安全活動,或供應(yīng)商自身存在網(wǎng)絡(luò)安全缺陷����,進(jìn)而導(dǎo)致的源代碼泄露、運維權(quán)限泄露����,直接影響了最終用戶的引用系統(tǒng)安全性。
軟件供應(yīng)鏈安全影響重大�����,各國紛紛推行政策法規(guī)推動軟件供應(yīng)鏈安全保護工作�。2021 年 5 月 12 日,美國總統(tǒng)拜登簽署發(fā)布《改善國家網(wǎng)絡(luò)安全行政令》����,明確提出改善軟件供應(yīng)鏈安全,要求構(gòu)建更有彈性且安全的軟件供應(yīng)鏈環(huán)境����,確保美國的國家安全�����。同年
7 月,美國國家標(biāo)準(zhǔn)與技術(shù)所(NIST)發(fā)布《開發(fā)者軟件驗證最低標(biāo)準(zhǔn)指南》����,進(jìn)一步為加強軟件供應(yīng)鏈安全加碼。
我國對軟件供應(yīng)鏈安全問題也給予了高度重視�����,除了等保2.0等標(biāo)準(zhǔn)要求之外�����,今年有多個重點行業(yè)推出針對供應(yīng)鏈安全的詳細(xì)工作要求�。
奇安信安全專家認(rèn)為,供應(yīng)鏈的安全風(fēng)險很繁雜�,這些風(fēng)險來自軟件開發(fā)、集成交付����、運維運營等環(huán)節(jié)�����,也可能來自提供咨詢��、系統(tǒng)集成����、運維測評等服務(wù)的服務(wù)商����。這些風(fēng)險大體上可以歸納成兩個大類,第一類是軟件產(chǎn)品本身的安全隱患�,例如開源組件缺陷、軟件漏洞等�;第二類是軟硬件產(chǎn)品服務(wù)提供商自身存在的安全隱患,例如重要系統(tǒng)端口暴露����、弱口令、人員權(quán)限管理不善等�。攻擊者可以利用上述的兩類隱患,通過植入��、替換�、源代碼分析��、跳板攻擊等手法����,實現(xiàn)對應(yīng)用系統(tǒng)的攻擊����。
供應(yīng)鏈安全建設(shè)涉及企業(yè)和組織內(nèi)的多個部門�,除了網(wǎng)絡(luò)安全部、項目建設(shè)����、運維運營、質(zhì)量管理等部門外�,還涉及供應(yīng)商管理、商務(wù)采購等部門����。同時供應(yīng)鏈安全建設(shè)也涉及管理制度、管理流程的設(shè)計和落地�����。
五大建議三項舉措 幫助重點行業(yè)應(yīng)對供應(yīng)鏈安全風(fēng)險
結(jié)合上述背景,國家多個行業(yè)監(jiān)管部門近期提出了對供應(yīng)鏈安全風(fēng)險的警示�,并作出了工作部署和工作要求。針對供應(yīng)鏈安全風(fēng)險�,奇安信總結(jié)了以下五個方面的建設(shè)意見。
第一是增強自身的風(fēng)險防范意識��,提高對供應(yīng)鏈安全關(guān)注�。組織內(nèi)部相關(guān)部門學(xué)習(xí)供應(yīng)鏈安全知識,了解軟件供應(yīng)鏈風(fēng)險�。建設(shè)涵蓋代碼檢測、開源檢測�、軟件成分分析、軟件行為分析�、滲透測試在內(nèi)的安全檢測能力,并以上述檢測能力����,支持風(fēng)險評估和審計工作。
第二是明確供應(yīng)鏈安全責(zé)任部門和流程�。這里既要明確供應(yīng)鏈安全的核心責(zé)任部門,也需要明確相關(guān)部門的責(zé)任����。同時根據(jù)自己的業(yè)務(wù)特點和既有的業(yè)務(wù)流程,制定供應(yīng)鏈安全的管理制度、管理流程和應(yīng)急響應(yīng)預(yù)案�。
第三是建立供應(yīng)商安全評估能力體系,建立開源組件檢測能力和開源情報系統(tǒng)�。供應(yīng)商安全評估能力體系至少包括了兩部分的內(nèi)容,一個是供應(yīng)商安全能力要求���,另一個是供應(yīng)商安全審查的機制���。特別是要求供應(yīng)商建設(shè)開源組件分析能力,能提供開源組件臺賬和開源風(fēng)險情報��,以及開源漏洞響應(yīng)機制���、漏洞修補的能力。
第四是建設(shè)軟件安全開發(fā)體系�����。在執(zhí)行開發(fā)軟件系統(tǒng)和由供應(yīng)商定制開發(fā)軟件系統(tǒng)兩個場景內(nèi)�����,開發(fā)團隊?wèi)?yīng)結(jié)合實際的開發(fā)流程�����,參考軟件安全開發(fā)的模型與最佳實踐,在開發(fā)流程中引入響應(yīng)的安全活動�����。這些安全活動包括但是不限于安全需求分析�����、安全特性設(shè)計��、安全編碼規(guī)范����、安全測試、安全交付�、安全運行等環(huán)節(jié)。這個過程中應(yīng)重點關(guān)注開源組件的引入和管理��,以及長期的漏洞檢測機制建設(shè)�、安全事件響應(yīng)機制建設(shè)。
第五是督促供應(yīng)商加強自身的網(wǎng)絡(luò)安全建設(shè)����。供應(yīng)商應(yīng)按照甲方要求,或參考等級保護等安全標(biāo)準(zhǔn),建設(shè)建全自身的網(wǎng)絡(luò)安全管理機制和技術(shù)體系�����。防止供應(yīng)商自身的信息安全隱患威脅到最終用戶的安全性�。
針對廣大客戶在供應(yīng)鏈安全領(lǐng)域遇到的安全問題,奇安信可以為客戶提供以下三類服務(wù)��。
首先是咨詢規(guī)劃服務(wù)����。奇安信結(jié)合自身的供應(yīng)鏈安全實踐以及對監(jiān)管政策的理解,和客戶一起�����,結(jié)合客戶的具體業(yè)務(wù)�,為客戶打造符合自身實際情況的供應(yīng)鏈管理制度�、管理流程。包括供應(yīng)商安全要求�����、供應(yīng)商準(zhǔn)入制度�、供應(yīng)商安全檢查制度、安全開發(fā)流程制度、安全編碼規(guī)范�、供應(yīng)鏈安全響應(yīng)機制等。
其次是供應(yīng)鏈安全相關(guān)能力����。這其中包括源代碼審計能力、開源組件審計能力��、開源漏洞情報��、滲透測試能力�、軟件安全分發(fā)、運行環(huán)境加固�、權(quán)限管理、供應(yīng)鏈安全攻防等�����,更廣泛的安全能力還包括為供應(yīng)商建設(shè)完整的網(wǎng)絡(luò)安全體系�。
最后是供應(yīng)鏈安全相關(guān)標(biāo)準(zhǔn)和體系的落地。隨著未來供應(yīng)鏈相關(guān)標(biāo)準(zhǔn)的推出�,奇安信也希望能與軟件開發(fā)方、使用方一起�����,打造支持相關(guān)標(biāo)準(zhǔn)和流程的具體落地的業(yè)務(wù)系統(tǒng),例如安全開發(fā)管理平臺����、開源管理平臺、供應(yīng)鏈安全管理平臺等���。
“在網(wǎng)絡(luò)空間對抗不斷升級���、數(shù)字化加速轉(zhuǎn)型、國家戰(zhàn)略推動�����、開源代碼被普遍使用的情況下�,軟件供應(yīng)鏈安全建設(shè)是大勢所趨�����!贝饲����,奇安信解決方案中心高級總監(jiān)金多表示���。接下來���,奇安信愿意與軟件使用方��、開發(fā)商��、服務(wù)商一起��,結(jié)合行業(yè)背景與實際業(yè)務(wù)情況��,遵照標(biāo)準(zhǔn)要求�,助力金融等行業(yè)客戶共同打造更安全的軟件供應(yīng)鏈體系��。
(責(zé)任編輯:李顯杰 )
【免責(zé)聲明】本文僅代表合作供稿方觀點�����,不代表和訊網(wǎng)立場�。投資者據(jù)此操作,風(fēng)險請自擔(dān)�。
最新評論