《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 專(zhuān)題·供應(yīng)鏈安全 | 構(gòu)建全流程軟件供應(yīng)鏈安全評(píng)估機(jī)制 維護(hù)我國(guó)網(wǎng)絡(luò)空間安全

專(zhuān)題·供應(yīng)鏈安全 | 構(gòu)建全流程軟件供應(yīng)鏈安全評(píng)估機(jī)制 維護(hù)我國(guó)網(wǎng)絡(luò)空間安全

2021-11-16
來(lái)源: 中國(guó)信息安全
關(guān)鍵詞: 供應(yīng)鏈 軟件

  軟件產(chǎn)品和服務(wù)關(guān)系生產(chǎn)、生活的各個(gè)方面,軟件供應(yīng)鏈安全直接影響社會(huì)的穩(wěn)定運(yùn)行。美國(guó)智庫(kù)大西洋理事會(huì)梳理的關(guān)于近 10 年發(fā)生的 115 起軟件供應(yīng)鏈安全事件的報(bào)告顯示,開(kāi)發(fā)工具污染、依賴(lài)混淆、升級(jí)劫持等軟件供應(yīng)鏈攻擊對(duì)國(guó)家安全造成巨大威脅。由于缺乏標(biāo)準(zhǔn)化軟件供應(yīng)鏈安全評(píng)估辦法和安全意識(shí),供需雙方難以提前發(fā)現(xiàn)并消除潛在安全風(fēng)險(xiǎn)。因此,構(gòu)建集管理和技術(shù)為一體、從開(kāi)發(fā)環(huán)節(jié)到使用環(huán)節(jié)的全流程軟件供應(yīng)鏈安全評(píng)估機(jī)制,提前發(fā)現(xiàn)軟件供應(yīng)鏈安全風(fēng)險(xiǎn),預(yù)防軟件供應(yīng)鏈攻擊,將成為推動(dòng)形成系統(tǒng)化、標(biāo)準(zhǔn)化軟件供應(yīng)鏈安全解決方案的必然趨勢(shì),也將成為保障網(wǎng)絡(luò)空間安全和維護(hù)國(guó)家安全的重要手段。

  一、軟件供應(yīng)鏈各環(huán)節(jié)安全風(fēng)險(xiǎn)眾多,缺乏安全評(píng)估,危害嚴(yán)重,影響范圍廣

  軟件供應(yīng)鏈可以劃分為開(kāi)發(fā)、交付和使用三個(gè)技術(shù)環(huán)節(jié),每個(gè)環(huán)節(jié)均存在安全隱患,然而,安全評(píng)估工作較少,導(dǎo)致安全事件時(shí)有發(fā)生。

  在使用環(huán)節(jié),由于用戶(hù)未對(duì)升級(jí)程序、組件、代碼等進(jìn)行嚴(yán)格檢查,導(dǎo)致攻擊者在更新升級(jí)或者打補(bǔ)丁過(guò)程中植入惡意代碼控制用戶(hù)系統(tǒng)。例如,2020 年 12 月,美國(guó)“太陽(yáng)風(fēng)”公司(SolarWinds)的 Orion 軟件更新服務(wù)器上存在一個(gè)被感染的更新程序,導(dǎo)致美國(guó)多家企業(yè)及政府單位網(wǎng)絡(luò)受到感染。火眼公司(FireEye)將該后門(mén)命名為“日爆”(Sunburst)。根據(jù)《紐約時(shí)報(bào)》報(bào)道,美國(guó)財(cái)政部系統(tǒng)等約 18000 家美國(guó)關(guān)鍵基礎(chǔ)設(shè)施、聯(lián)邦機(jī)構(gòu)和企業(yè)受到影響,部分受影響設(shè)備可由攻擊者完全操控。

  在交付環(huán)節(jié),軟件提供方通過(guò)網(wǎng)站平臺(tái)下載、鏡像安裝、固定銷(xiāo)售網(wǎng)點(diǎn)購(gòu)買(mǎi)等方式完成軟件交付,由于交付渠道、交付環(huán)境等方面缺乏安全分析評(píng)估,為攻擊者利用捆綁軟件、下載劫持、依賴(lài)混淆等方法實(shí)施攻擊提供了可乘之機(jī)。例如,2017 年 8 月,安全研究人員發(fā)現(xiàn)知名電信設(shè)備制造商 Iris 生產(chǎn)的調(diào)制解調(diào)器存在五個(gè)安全漏洞,其中三個(gè)硬編碼后門(mén)賬號(hào)漏洞。由于未及時(shí)開(kāi)展漏洞挖掘和修復(fù)工作,直接導(dǎo)致攻擊者利用三個(gè)后門(mén)賬號(hào)控制設(shè)備,獲取root 權(quán)限,安裝新固件乃至架設(shè)僵尸網(wǎng)絡(luò)。

  開(kāi)發(fā)環(huán)節(jié)處于供應(yīng)鏈上游,具有開(kāi)發(fā)工具安全評(píng)估難度大、開(kāi)源代碼復(fù)用率高、軟件開(kāi)發(fā)碎片化顯著等特點(diǎn)。攻擊者通過(guò)污染開(kāi)發(fā)工具、復(fù)用開(kāi)源代碼等方式控制上游軟件供應(yīng)鏈,借助軟件開(kāi)發(fā)碎片化顯著等特點(diǎn)促使污染代碼快速傳播影響中下游用戶(hù),例如 2015 年 9 月爆發(fā)的蘋(píng)果開(kāi)發(fā)工具XcodeGhost 事件。Xcode 是一款蘋(píng)果的開(kāi)發(fā)工具,攻擊者利用當(dāng)時(shí)通過(guò)官方渠道獲取 Xcode 官方版本困難的情況 , 在非官方渠道發(fā)布的 Xcode 注入病毒,導(dǎo)致 2500 多款使用該開(kāi)發(fā)工具開(kāi)發(fā)的蘋(píng)果 App 被植入惡意代碼,受影響的蘋(píng)果 iOS 用戶(hù)達(dá) 1.28 億。

  軟件供應(yīng)鏈攻擊雖然不直接攻擊用戶(hù),但是能夠通過(guò)破壞上游供應(yīng)鏈對(duì)下游用戶(hù)形成“隔山打?!笔焦?,且危害巨大。目前,開(kāi)發(fā)者對(duì)開(kāi)發(fā)工具依賴(lài)度高,對(duì)安全風(fēng)險(xiǎn)防范主要依賴(lài)官方補(bǔ)??;國(guó)內(nèi)用戶(hù)使用破解軟件、綠色軟件現(xiàn)象較為普遍,而對(duì)其中漏洞、惡意代碼等安全威脅鮮有評(píng)估,產(chǎn)生的安全風(fēng)險(xiǎn)不言而喻。因此,在軟件供應(yīng)鏈各個(gè)環(huán)節(jié)開(kāi)展安全評(píng)估,盡早發(fā)現(xiàn)其中的安全問(wèn)題并采取有效的修復(fù)措施,才能最大限度避免安全事件的發(fā)生。

  二、美國(guó)在軟件供應(yīng)鏈安全領(lǐng)域的法律法規(guī)、標(biāo)準(zhǔn)制度建設(shè)等方面起步較早,較為完善,對(duì)我國(guó)具有較好的借鑒意義

  美國(guó)政府率先將供應(yīng)鏈安全上升至國(guó)家戰(zhàn)略。早在 2008 年就開(kāi)始制定相關(guān)政策法規(guī),《國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃(CNCI)》要求在產(chǎn)品、系統(tǒng)和服務(wù)的整個(gè)生命周期內(nèi)綜合應(yīng)對(duì)國(guó)內(nèi)和全球供應(yīng)鏈風(fēng)險(xiǎn);2009 年發(fā)布的《網(wǎng)絡(luò)空間安全評(píng)估報(bào)告》,將信息通信技術(shù)(以下簡(jiǎn)稱(chēng)“ICT”)供應(yīng)鏈安全納入國(guó)家安全范疇。至此,美國(guó)率先完成了 ICT 供應(yīng)鏈安全的框架結(jié)構(gòu)設(shè)計(jì),明確了其在國(guó)家安全中的重要地位。

  美國(guó)多個(gè)國(guó)家組織機(jī)構(gòu)自上而下貫徹落實(shí)《國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃(CNCI)》,逐步形成較為完善的軟件供應(yīng)鏈安全管理及風(fēng)險(xiǎn)評(píng)估體系。2012 年,美國(guó)發(fā)布首個(gè)國(guó)家層級(jí)戰(zhàn)略報(bào)告《全球供應(yīng)鏈安全國(guó)家戰(zhàn)略》,提出安全和高效兩大目標(biāo)。2013 年至2019 年,基于上述戰(zhàn)略,美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院、國(guó)土安全部、國(guó)家網(wǎng)絡(luò)安全促進(jìn)委員會(huì)等機(jī)構(gòu)先后發(fā)布《聯(lián)邦信息系統(tǒng)與機(jī)構(gòu)供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐》《加強(qiáng)國(guó)家網(wǎng)絡(luò)安全——促進(jìn)數(shù)字經(jīng)濟(jì)的安全與發(fā)展》《供應(yīng)鏈風(fēng)險(xiǎn)管理計(jì)劃》《聯(lián)邦信息技術(shù)供應(yīng)鏈風(fēng)險(xiǎn)管理改進(jìn)法案》,充分評(píng)估軟件供應(yīng)鏈開(kāi)發(fā)、交付和使用三個(gè)環(huán)節(jié)的安全風(fēng)險(xiǎn),并提供評(píng)估機(jī)制,形成了較為完善 ICT 供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估體系。

  美國(guó)政府對(duì)其軟件供應(yīng)鏈涉及外國(guó)對(duì)手的部分和聯(lián)邦政府使用的軟件和服務(wù)空前重視,要求迅速實(shí)施更加嚴(yán)格的評(píng)估機(jī)制,進(jìn)一步完善安全評(píng)估體系。2019 年,特朗普政府發(fā)布《確保信息和通信技術(shù)及服務(wù)供應(yīng)鏈安全》行政令(13873 號(hào)政令),進(jìn)一步加強(qiáng)其全球 ICT 供應(yīng)鏈安全評(píng)估要求。2021 年,美國(guó)商務(wù)部發(fā)布《確保信息和通信技術(shù)及服務(wù)供應(yīng)鏈安全》的最新規(guī)則生效,美國(guó)商務(wù)部明確提出就某些對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施或數(shù)據(jù)及經(jīng)濟(jì)造成不適當(dāng)風(fēng)險(xiǎn),或?qū)γ绹?guó)國(guó)家或公民構(gòu)成不可接受之風(fēng)險(xiǎn)的外國(guó)對(duì)手的信息通信技術(shù)和服務(wù)(ICTS)交易所進(jìn)行識(shí)別、評(píng)估和風(fēng)險(xiǎn)消除程序,從而決定是否禁止交易。商業(yè)軟件開(kāi)發(fā)在透明性、抵抗攻擊、惡意行為防御等方面存在明顯不足。2021 年 5 月 12 日,美國(guó)總統(tǒng)拜登發(fā)布關(guān)于增強(qiáng)國(guó)家網(wǎng)絡(luò)安全的 14028 號(hào)政令,明確要求聯(lián)邦政府采取行動(dòng),迅速提高軟件供應(yīng)鏈的安全性和完整性,聯(lián)邦政府使用的軟件迫切需要實(shí)施更加嚴(yán)格的評(píng)估機(jī)制,通過(guò)試點(diǎn)計(jì)劃創(chuàng)建“能源之星”類(lèi)型標(biāo)簽等方式使政府和廣大工作可以快速確保產(chǎn)品是否安全。美國(guó)政府通過(guò)不斷深化軟件供應(yīng)鏈安全要求,進(jìn)一步完善了軟件供應(yīng)鏈安全保障體系。

  三、為應(yīng)對(duì)復(fù)雜嚴(yán)峻的軟件供應(yīng)鏈安全風(fēng)險(xiǎn),我國(guó)逐步完善相關(guān)政策法規(guī),從國(guó)家層面不斷加強(qiáng)軟件供應(yīng)鏈安全保障工作

  我國(guó)軟件供應(yīng)鏈面臨復(fù)雜的國(guó)際環(huán)境,歐美等國(guó)以維護(hù)國(guó)家安全為由對(duì)我國(guó)軟件供應(yīng)方進(jìn)行打壓。隨著中華民族偉大復(fù)興進(jìn)入不可逆轉(zhuǎn)的歷史進(jìn)程,在信息技術(shù)領(lǐng)域,美國(guó)等國(guó)與我國(guó)競(jìng)爭(zhēng)日益激烈,自 2019 年至今,美國(guó)陸續(xù)將近 200 家科技企業(yè)、研究機(jī)構(gòu)列入實(shí)體名單;2021 年,美國(guó)政府發(fā)布《確保信息和通信技術(shù)及服務(wù)供應(yīng)鏈安全》,將中國(guó)列在“外國(guó)對(duì)手”首位,強(qiáng)調(diào)對(duì)外國(guó)對(duì)手供應(yīng)的軟件產(chǎn)品和服務(wù)進(jìn)行安全識(shí)別、評(píng)估。例如,字節(jié)跳動(dòng)公司在美國(guó)拓展抖音(TikTok)業(yè)務(wù)期間,美國(guó)以維護(hù)其網(wǎng)絡(luò)安全為由,將 TikTok 業(yè)務(wù)從算法、數(shù)據(jù)、功能架構(gòu)等方面層層拆解,牢牢控制其供應(yīng)鏈。因此,為了避免我國(guó)軟件提供商在國(guó)際貿(mào)易中的不平等待遇和保障國(guó)內(nèi)軟件的安全需求,需要在軟件進(jìn)出口方面做好供應(yīng)鏈安全評(píng)估,為保障我國(guó)軟件的合法權(quán)益提供技術(shù)支撐。

  國(guó)內(nèi)軟件供應(yīng)鏈發(fā)展迅速,開(kāi)源貢獻(xiàn)度逐年增多,開(kāi)源軟件使用不規(guī)范、軟件交付渠道不可控,軟件供應(yīng)鏈安全風(fēng)險(xiǎn)叢生。根據(jù) Github 數(shù)據(jù)統(tǒng)計(jì),2020 年度 Github 活躍用戶(hù)中北美用戶(hù)占 34%,亞洲用戶(hù)占 30.7%,北美用戶(hù)減少了 2%,亞洲用戶(hù)增長(zhǎng)1.1%。美國(guó)開(kāi)源用戶(hù)貢獻(xiàn)度下降至 22.7%,中國(guó)上升至 9.76%,預(yù)計(jì)到 2025 年,這一比例將上升至美國(guó) 16.4%,中國(guó) 13.3%。同時(shí),國(guó)內(nèi)一部分企業(yè)、開(kāi)發(fā)者認(rèn)為“開(kāi)源即免費(fèi)”,而開(kāi)源軟件協(xié)議 GPL 明確指出開(kāi)源軟件是指行為自由,規(guī)定了開(kāi)源程序的免費(fèi)使用范圍和權(quán)力,而并非完全免費(fèi)(When wespeak of free software, we are referring to freedom, not a price)。中國(guó)的商業(yè)使用者多忽視了這個(gè)協(xié)議,存在較大的知識(shí)產(chǎn)權(quán)法律風(fēng)險(xiǎn)和安全隱患。開(kāi)源軟件為敏捷開(kāi)發(fā)帶來(lái)極大便利,大量的代碼克隆大大提升軟件開(kāi)發(fā)速度,但是開(kāi)源項(xiàng)目引用過(guò)程中缺乏對(duì)漏洞、惡意代碼的檢測(cè)、修復(fù)。代碼復(fù)用產(chǎn)生的漏洞成為軟件供應(yīng)鏈的重大安全威脅。在軟件交付方面,App 端各種應(yīng)用市場(chǎng)存在捆綁下載的情形,PC端存在大量的綠色軟件、破解軟件等第三方下載站,存在惡意軟件、漏洞、后門(mén)等多種風(fēng)險(xiǎn)。軟件使用方面 , 企業(yè)更多關(guān)注功能、業(yè)務(wù)的完成情況,對(duì)漏洞、后門(mén)等安全防范意識(shí)較為薄弱,技術(shù)安全問(wèn)題整改高度依賴(lài)國(guó)家強(qiáng)制要求。為了充分應(yīng)對(duì)軟件供應(yīng)鏈的安全威脅,提前發(fā)現(xiàn)安全隱患,從各個(gè)角度對(duì)軟件供應(yīng)鏈進(jìn)行安全評(píng)估,將成為軟件開(kāi)發(fā)、交付和使用的重要工作內(nèi)容。

  國(guó)家層面高度重視軟件供應(yīng)鏈安全問(wèn)題,不斷建立健全法律法規(guī)、標(biāo)準(zhǔn)制度,專(zhuān)門(mén)針對(duì)軟件供應(yīng)鏈安全評(píng)估的政策法規(guī)有待完善加強(qiáng)。為應(yīng)對(duì)國(guó)內(nèi)外軟件供應(yīng)鏈安全威脅,近年來(lái)我國(guó)先后頒布的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全審查辦法》《中華人民共和國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和 2035 年遠(yuǎn)景目標(biāo)綱要》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等政策法規(guī)強(qiáng)調(diào)加強(qiáng)軟件供應(yīng)鏈的安全保障。2018 年,我國(guó)出臺(tái)了供應(yīng)鏈安全管理國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) ICT 供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》(GB/T 36637-2018)。該標(biāo)準(zhǔn)采用風(fēng)險(xiǎn)評(píng)估的思路,從產(chǎn)品全生命周期的角度開(kāi)展風(fēng)險(xiǎn)分析及管理,以實(shí)現(xiàn)供應(yīng)鏈的完整性、保密性、可用性和可控性安全目標(biāo)。2020 年,中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院發(fā)布的國(guó)家標(biāo)準(zhǔn)《信息技術(shù)產(chǎn)品供應(yīng)鏈安全要求》征求意見(jiàn)稿,規(guī)定了信息技術(shù)產(chǎn)品供應(yīng)方和需求方應(yīng)滿(mǎn)足的供應(yīng)鏈基本安全要求;電信終端產(chǎn)業(yè)協(xié)會(huì)發(fā)布的《網(wǎng)絡(luò)產(chǎn)品供應(yīng)鏈安全要求》行業(yè)標(biāo)準(zhǔn)對(duì)網(wǎng)絡(luò)產(chǎn)品在管理制度、組織機(jī)構(gòu)和人員、信息系統(tǒng)等以及供應(yīng)鏈環(huán)節(jié)提出了不同等級(jí)的安全要求。2021 年,我國(guó)率先開(kāi)展針對(duì)軟件供應(yīng)鏈安全的國(guó)家標(biāo)準(zhǔn)立項(xiàng)工作,擬通過(guò)研究制定《信息安全技術(shù) 軟件供應(yīng)鏈安全要求》提升國(guó)內(nèi)軟件供應(yīng)鏈各個(gè)環(huán)節(jié)的規(guī)范性和安全保障能力。

  國(guó)家出臺(tái)的一系列政策法規(guī)、標(biāo)準(zhǔn)制度是保障軟件供應(yīng)鏈安全,維護(hù)網(wǎng)絡(luò)空間安全的堅(jiān)實(shí)后盾,然而,如何評(píng)估和判斷軟件各環(huán)節(jié)中的實(shí)體、要素及行為是否達(dá)到相應(yīng)安全要求目前尚未形成共識(shí)。當(dāng)前,軟件產(chǎn)品和服務(wù)在電子政務(wù)、軍事裝備、航天航空等領(lǐng)域發(fā)揮了無(wú)可替代的作用,一旦發(fā)生安全事件危害嚴(yán)重。為了緩解軟件供應(yīng)鏈攻擊給政治安全、軍事安全、網(wǎng)絡(luò)空間安全等帶來(lái)的諸多隱患和威脅,亟需構(gòu)建軟件供應(yīng)鏈安全評(píng)估機(jī)制,全面保障軟件產(chǎn)品和服務(wù)安全。

  四、建立全流程軟件供應(yīng)鏈安全評(píng)估機(jī)制,推動(dòng)相關(guān)政策法規(guī)和標(biāo)準(zhǔn)制度的落地實(shí)施,進(jìn)一步提升軟件供應(yīng)鏈安全保障能力,維護(hù)網(wǎng)絡(luò)空間安全

  全流程軟件供應(yīng)鏈安全評(píng)估機(jī)制可從國(guó)家政策層面、管理措施層面和技術(shù)評(píng)估層面,明確對(duì)軟件供應(yīng)鏈開(kāi)發(fā)、交付和使用各環(huán)節(jié)涉及的實(shí)體、要素的約束要求,同時(shí),評(píng)估各種實(shí)體、要素帶來(lái)的安全風(fēng)險(xiǎn),并由權(quán)威機(jī)構(gòu)對(duì)評(píng)估達(dá)標(biāo)的軟件產(chǎn)品和服務(wù)發(fā)放電子簽名或證書(shū),如圖所示。

  圖 全流程軟件供應(yīng)鏈安全評(píng)估機(jī)制

  在國(guó)家政策層面,持續(xù)加強(qiáng)國(guó)家層面在軟件供應(yīng)鏈安全方面的戰(zhàn)略引導(dǎo)作用,制定專(zhuān)門(mén)針對(duì)軟件供應(yīng)鏈的法律法規(guī),完善軟件供應(yīng)鏈安全評(píng)估政策體系。軟件產(chǎn)品和服務(wù)作為 ICT 的重要組成部分已遍布我國(guó)社會(huì)的各個(gè)角落,與國(guó)民工作生活息息相關(guān),現(xiàn)有政策法規(guī)尚未針對(duì)軟件供應(yīng)鏈各個(gè)環(huán)節(jié)實(shí)體、行為、要素明確約束要求,應(yīng)在現(xiàn)行法規(guī)制度基礎(chǔ)上,結(jié)合國(guó)內(nèi)軟件供應(yīng)鏈發(fā)展速度快、代碼復(fù)用率高、綠色軟件普遍等特點(diǎn),構(gòu)建符合中國(guó)特色的軟件供應(yīng)鏈安全評(píng)估政策體系。

  在管理措施層面,加強(qiáng)軟件供應(yīng)鏈各個(gè)環(huán)節(jié)的管理安全評(píng)估,督促供應(yīng)方、需求方加強(qiáng)組織管理,提升軟件開(kāi)發(fā)、交付及使用的規(guī)范性和安全保障能力。保障軟件供應(yīng)鏈安全需要開(kāi)發(fā)環(huán)節(jié)、交付環(huán)節(jié)和使用環(huán)節(jié)的所有參與角色共同努力。供需雙方應(yīng)積極貫徹落實(shí)相關(guān)政策法規(guī),建立軟件供應(yīng)鏈組織管理制度規(guī)范。評(píng)估機(jī)構(gòu)作為第三方機(jī)構(gòu)按照上位法律法規(guī)標(biāo)準(zhǔn)制度要求,對(duì)供需雙方的組織管理制度規(guī)范進(jìn)行評(píng)估,確保其能約束參與人員、組織結(jié)構(gòu)依照安全管理規(guī)定和要求完成軟件的開(kāi)發(fā)、交付及使用。

  在技術(shù)評(píng)估層面,增強(qiáng)軟件供應(yīng)鏈技術(shù)安全評(píng)估工作,迅速識(shí)別軟件供應(yīng)鏈各環(huán)節(jié)實(shí)體、要素的安全威脅,最大限度消除安全隱患,維護(hù)網(wǎng)絡(luò)空間安全。隨著相關(guān)國(guó)家標(biāo)準(zhǔn)的實(shí)行和立項(xiàng),軟件供應(yīng)鏈安全評(píng)估領(lǐng)域?qū)⑦M(jìn)入快速發(fā)展階段。當(dāng)前,評(píng)估機(jī)構(gòu)的評(píng)估工作集中于代碼成分分析,通過(guò)分析項(xiàng)目源代碼中復(fù)用的開(kāi)源項(xiàng)目,發(fā)現(xiàn)歷史漏洞、安全隱患、許可證沖突等安全問(wèn)題,對(duì)于軟件供應(yīng)鏈上游的開(kāi)發(fā)工具安全、中游的交付渠道和交付范圍安全、下游的補(bǔ)丁和更新安全等缺乏評(píng)估手段和能力。軟件供應(yīng)鏈安全關(guān)乎網(wǎng)絡(luò)空間安全、人民安全等重大國(guó)家安全事項(xiàng),單一機(jī)構(gòu)或團(tuán)隊(duì)難以完成軟件供應(yīng)鏈的全部安全事項(xiàng)評(píng)估。應(yīng)依據(jù)上位政策法規(guī),構(gòu)建全流程軟件供應(yīng)鏈安全評(píng)估機(jī)制,制定軟件供應(yīng)鏈技術(shù)安全評(píng)估規(guī)章制度,打造能夠高標(biāo)準(zhǔn)完成軟件供應(yīng)鏈安全評(píng)估的技術(shù)聯(lián)盟,研發(fā)開(kāi)放性的軟件供應(yīng)鏈安全評(píng)估技術(shù)平臺(tái),快速識(shí)別并修復(fù)軟件供應(yīng)鏈開(kāi)發(fā)、交付和使用環(huán)節(jié)實(shí)體、要素存在的安全風(fēng)險(xiǎn),對(duì)于評(píng)估達(dá)標(biāo)的軟件產(chǎn)品及服務(wù)出具相應(yīng)的電子簽名和證書(shū),使供需雙方迅速確認(rèn)軟件是否安全,同時(shí),配合相關(guān)法律法規(guī)、標(biāo)準(zhǔn)、制度的落地實(shí)行,進(jìn)而維護(hù)我國(guó)網(wǎng)絡(luò)空間安全。

  五、總結(jié)與展望

  軟件產(chǎn)品和服務(wù)已經(jīng)滲透到當(dāng)前社會(huì)的各個(gè)角落,與人們的工作生活密不可分,為防范安全事件發(fā)生,建立完善的安全評(píng)估機(jī)制,充分開(kāi)展軟件供應(yīng)鏈安全評(píng)估工作,勢(shì)在必行。構(gòu)建全流程軟件供應(yīng)鏈安全評(píng)估機(jī)制,打造能夠高標(biāo)準(zhǔn)完成軟件供應(yīng)鏈安全評(píng)估的技術(shù)聯(lián)盟和開(kāi)放性技術(shù)評(píng)估平臺(tái),能為軟件開(kāi)發(fā)、交付、使用等環(huán)節(jié)中供需雙方提供安全技術(shù)支撐;能夠緩解軟件供應(yīng)鏈管理、技術(shù)層面存在的安全威脅和風(fēng)險(xiǎn)挑戰(zhàn),最大程度避免軟件供應(yīng)鏈領(lǐng)域出現(xiàn)網(wǎng)絡(luò)安全的“黑天鵝”“灰犀?!笔录?;能夠推動(dòng)相關(guān)政策法規(guī)和標(biāo)準(zhǔn)制度的落地,保障軟件供應(yīng)鏈安全、維護(hù)網(wǎng)絡(luò)空間安全。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話(huà)通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話(huà):010-82306118;郵箱:aet@chinaaet.com。