11月11-14日，由浙江省人民政府、中華人民共和國商務部主辦的首屆全球數字貿易博覽會（簡稱“數貿會”）在杭州國際博覽中心舉行。本屆數貿會聚焦“數字貿易 商通全球”主題，以“數字化的貿易對象”和“數字化的貿易方式”為主線，設主論壇及數十場分論壇，打造數字貿易產業(yè)發(fā)展風向標。

　　眾所周知，杭州是業(yè)內多家網絡安全企業(yè)的大本營，安全419注意到，作為浙江省本土知名的新興網絡安全公司，默安科技深度參與了本屆數貿會，向來自全球的數字化企業(yè)展示中國網絡安全技術能力和安全力量。12月13日，在同期舉辦的2022首屆全球數字生態(tài)大會－數字應用與技術分論壇上，默安科技副總裁沈錫鏞以《數字防線 原生構建》為題，分享了默安科技在軟件供應鏈安全方面的實踐和建設經驗。

　　軟件開發(fā)環(huán)境變化催生了新的安全挑戰(zhàn)

　　沈錫鏞首先談到，當前企業(yè)在做數字化轉型和數字化業(yè)務的過程當中，通常會面臨兩類原生的安全風險：其一是數據安全風險，數據泄露或數據濫用；其二是因安全問題導致的業(yè)務中斷。這兩類問題都與軟件供應鏈息息相關。

　　● 首先，數字化時代下軟件構成的形態(tài)相較過去已經有了很大的差異性。默安科技此前在對某一直轄市百萬級日活的政務應用進行技術排查時發(fā)現，真正由軟件開發(fā)供應商自己寫的代碼僅占5%，“他們是把各種各樣的開源組件和功能封裝到了一起，軟件的核心部分都不是自己真正去寫的。所以當時我們戲稱為，這些軟件是軟件開發(fā)商自產的，而非自研的，這樣生產出來的軟件稱不上研究的‘研’字?！?/p>

　　在他看來，這也并非軟件開發(fā)商之罪，隨著數字化業(yè)務轉型的加速，海量的toC場景涌現出來，要求數字化應用快速上線、快速迭代。為了降低軟件的開發(fā)成本和周期，研發(fā)人員必須大量地采用第三方組件，避免大量“重復造輪子”的消耗。但這不可避免地就帶來全新的安全風險，大量的組件性漏洞、開源性漏洞以及公共云服務不當配置被利用的風險，其中就包括了數據安全風險。

　　● 其次，是軟件供應鏈帶來的業(yè)務中斷風險。“在不久前的俄烏網絡戰(zhàn)中就有一個典型的例子，美國不允許俄羅斯的開發(fā)者下載 GitHub上的公共庫，不允許俄羅斯的開發(fā)者去下載使用這些開源組件，這就導致俄羅斯許多應用停止更新，進而導致了整體安全性的下降。”

　　沈錫鏞認為，這一案例充分地說明了供應鏈攻擊的兩大特點，首先它如同“隔山打?！币粯泳邆浜軓姷碾[蔽性，供應鏈往往是構成一個數字化業(yè)務的基座，因此攻擊者無須直接攻擊數字化應用，而是通過攻擊軟件的開發(fā)方或是業(yè)務的托管方，就能夠在不知不覺中對業(yè)務應用發(fā)起攻擊。另一特點是“打一片影響一面”，年初發(fā)生的Solarwinds事件中就印證了這一點，對一個供應商發(fā)起的攻擊，能夠對下游大量的企業(yè)造成行業(yè)地震式影響。

　　安全往往被軟件開發(fā)者所忽視

　　軟件開發(fā)者理應得到更好的合規(guī)性監(jiān)管

　　近年來，軟件供應鏈安全逐漸在國家層面得到廣泛關注，一方面是由于數字化轉型趨勢下，軟件架構復雜性增加，外部引入成分占比增加，供應鏈中斷風險增加。另一方面是軟件供應鏈攻擊的投入產出比較高，軟件開發(fā)商的網絡安全防護和開發(fā)安全能力普遍較弱，組件漏洞和供應鏈投毒事件頻發(fā)，成為了縱深防護層層壁壘中的一道裂縫。

　　沈錫鏞表示，一個軟件的核心污染路徑往存在于軟件的開發(fā)環(huán)節(jié)、交付環(huán)節(jié)和使用環(huán)節(jié)三個階段，隨著我國網絡安全建設的不斷加強，在軟件使用環(huán)節(jié)的安全意識和安全管控措施相對健全，但在開發(fā)環(huán)節(jié)仍然較為薄弱。

　　假設一家軟件開發(fā)供應商或部門接到了一個數字化業(yè)務需求，要求在短期內快速上線一個移動應用、小程序，那大概率優(yōu)先思考三個問題：第一，業(yè)務需求中的功能代碼網上有沒有現成的可以直接抄？第二，能不能在過去已有的代碼基礎上直接改？第三，我能不能直接外包出去賺個差價？

　　但這樣的做法實際會帶來很多安全隱患，軟件開發(fā)單位無法知道網上抄來的代碼是否安全，不知道層層外包或轉包后所引用的組件、框架是否安全。甚至壓根不知道隱患在哪里。面臨這些隱患，行業(yè)過去的做法通常是在軟件上線前進行安全測試，或是代碼審計，但安全測試這種做法不一定保證可靠性，而代碼審計不僅成本高，也會出現很多誤報。但事實上，在攻防嚴重不對等的前提下，代碼審計幾乎很難發(fā)現深層的第三方組件復用和開源框架所帶來的安全風險。

　　“我們國家做了很多年的安全合規(guī)，但我們始終沒有把安全合規(guī)的重點指向過？？海量的軟件公司和開發(fā)者，他們既沒有被等保約束過，也沒有被攻防演練過，？？他們最核心的資產并不是官網，而是開發(fā)者們的代碼倉庫，生產代碼的工具，生產代碼的人，這些是不是經得起考驗，是不是有明確的標準和合規(guī)要求？？事實上并沒有?！?/p>

　　在沈錫鏞看來，從軟件開發(fā)的角度來看，發(fā)起一次Solarwinds這樣大規(guī)模的攻擊并非難事，只要去攻破關鍵供應商，在一些核心第三方組件中潛藏進去一個后門指令，就能夠完成一次供應鏈投毒攻擊，一旦攻擊成功，便能夠影響下游海量的業(yè)務應用和企業(yè)，通過勒索攻擊等手段造成巨大的經濟損失，這也是供應鏈攻擊最可怕的地方。

　　著眼軟件的引入、生產和應用環(huán)節(jié)

　　多管齊下治理軟件供應鏈安全

　　沈錫鏞談到，作為國內軟件供應鏈安全領域的先行者，默安科技認為，根據軟件供應鏈的特點，軟件供應鏈的業(yè)務流程可以抽象成供應鏈引入、軟件生產和軟件應用三個環(huán)節(jié)。

　　供應鏈引入環(huán)節(jié)

　　沈錫鏞認為，在供應鏈引入環(huán)節(jié)主要存在基礎服務風險、軟件代碼風險、開源組件風險和三方服務未知風險，面臨的供應鏈核心安全問題是供應鏈準入和供應鏈透明，其中最關鍵是要先摸清家底。

　　假設一個政企單位所有的軟件應用都是直接引入的，那么就需要對這些軟件進行全面的體檢，把其中的一些技術組件的風險，軟件代碼的風險，以及開源的許可證問題都提前篩查出來。尤其是開源許可證風險，當前國內許多開發(fā)人員認為開源軟件是綠色軟件，可以任意使用。但實際上，如果開發(fā)人員未遵循開源軟件許可證而任意進行軟件開發(fā)的話，很有可能軟件所屬的政企單位也要承擔版權侵權的責任，其所造成的商業(yè)損失可能會遠超業(yè)務價值本身。

　　軟件生產環(huán)節(jié)

　　在軟件生產環(huán)節(jié)要存在開源組件風險、自研代碼安全質量風險和三方服務未知風險，面臨的供應鏈核心安全問題是供應鏈投毒、軟件生產安全。重點需要考慮如何去防治供應鏈各個環(huán)節(jié)帶來的安全風險。

　　對于政企單位的研發(fā)部門來說，即使是低代碼平臺或是小程序，也應該圍繞整個代碼的完整性、代碼開發(fā)環(huán)境，以及開發(fā)工具、開發(fā)人員和制度，針對相對應的一些安全措施去做加強和保證，而不是簡單地靠簽署保密協議來提升安全性。

　　軟件應用環(huán)節(jié)

　　在軟件應用環(huán)節(jié)，會存在軟件部署風險、運行期間風險，面臨的供應鏈核心安全問題是供應鏈安全事件響應。

　　正如不久前爆發(fā)的Fast Jason反序列化漏洞和log4J2漏洞等等，軟件上線后經常會爆出各種各樣的漏洞，在領導眼中這個問題很好解決，如果組件有漏洞不用它就好了，但實際上很多核心組件并沒有替代品，即使存在安全問題也必須帶病上線。

　　沈錫鏞指出，“除了沒有替代組件外，往往大家政企單位還面臨著另一個窘迫的現狀，漏洞爆發(fā)后，定位漏洞位置很慢。一家數字化企業(yè)擁有大量的數字化應用，其中又集成了大量不同版本的第三方組件，很難去一一回溯和甄別所有組件的位置，但是如果定位速度慢的話，帶來的只能是十倍百倍的應急時間，？？業(yè)務又不能中斷，因此造成的后果只能是向攻擊者敞開大門。這些問題發(fā)展到今天，已經不是靠安全部門就能夠解決了，而是要靠安全部門跟開發(fā)部門、業(yè)務部門一起去共同承擔?！?/p>

　　沈錫鏞最后介紹，默安科技是國內首批開辟開發(fā)安全業(yè)務的安全廠商，在軟件供應鏈安全方面有很深的積累實踐。從最初的開發(fā)安全體系咨詢，到建設完整的開發(fā)安全工具鏈，積累了大批的項目建設經驗，再到參加國家行業(yè)相關標準的制定和試點推廣，將開發(fā)安全建設延展到供應鏈安全治理，研發(fā)軟件供應鏈風險評估平臺，并且依托階段性的標準化建設成果，在關基單位進行落地實踐，最終拉動產業(yè)和監(jiān)管逐步勾勒出了默安科技獨創(chuàng)的軟件供應鏈安全管理的體系架構和實現路徑。

　　目前默安科技已經積累包括在政府機構、數字化轉型單位以及大型集團企業(yè)在內的大量軟件供應鏈安全建設案例，為各類行業(yè)用戶提供軟件供應鏈安全解決方案。未來默安科技將繼續(xù)深耕優(yōu)勢領域，為全球數字貿易產業(yè)的創(chuàng)新與高質量發(fā)展貢獻更多安全力量。

　　更多信息可以來這里獲取==>>電子技術應用-AET<<