在数字化浪潮席卷全球的今天,软件已成为现代社会生活的核心。它不仅驱动着商业创新,推动着政府服务的高效运行,也渗透到我们日常生活的方方面面,成为现代文明不可或缺的一部分。随着这种依赖的不断加深,软件及其供应链的重要性日益凸显。软件供应链涵盖了从软件的初始概念设计到开发、部署、维护乃至退役的整个生命周期,这一链条的每个环节都至关重要。然而,正如任何复杂系统所固有的,软件供应链的复杂性也带来了脆弱性,使之成为潜在的安全风险点。
在这个全球化、互联网化的时代,软件供应链的安全问题不再仅仅是技术层面的挑战,而是上升到了国家安全和社会稳定的高度。一个脆弱的供应链可能导致重要数据的泄露、关键基础设施的瘫痪,甚至影响国家安全。这种风险在国际政治和经济的大背景下更加复杂,保护软件供应链安全不仅是一个企业层面的问题,更是国家战略层面的问题。
软件供应链安全的挑战要求我们采取全面的视角来理解和应对。这不仅涉及加强技术防护、改善开发和维护实践,还包括制定更加严格的国家标准、加强国际合作及提高公众的安全意识。在全球互联网环境下,任何个体的安全漏洞都可能成为整个系统的威胁。因此,构建一个安全、可靠的软件供应链,不仅是保障信息安全、维护经济稳定的基础,也是维护国家安全和促进全球合作的重要途径。在这个过程中,企业、政府和国际组织需要共同努力,形成一个多层次、多维度的安全防护网,以确保我们的数字世界能够安全、稳定、高效地运行。
软件供应链安全作为新的安全问题,缺乏权威和准确的定义。本书拟采用以下定义。
软件供应链安全指软件供应链上软件设计与开发的各个阶段中来自本身的编码过程、工具、设备或供应链上游的代码、模块和服务的安全,以及软件交付渠道安全的总和。
为便于理解,可以将软件供应链与传统供应链的关键业务进行对比(见表1-1)。传统的供应链概念是由各种组织、人员、信息、资源和行为组成的系统,将商品或服务从供应商转移到消费者手中。该系统从自然资源和原材料开始,并将其加工成中间部件和最终产品以供最终消费者使用。而在软件供应链中,商品和服务就是软件,供应商和消费者分别是指软件供应商和软件用户,自然资源、原材料可以对应软件在设计开发的各个阶段编入软件的代码、模块和服务,加工过程对应编码过程、工具和设备。
表1-1 软件供应链与传统供应链关键业务对比
具体来讲,软件供应链包括以下内容:构成软件合同签订、软件开发、分发、维护过程的各个环节和参与者,涉及软件产品和服务的所有组成部分和相关方,包括软件开发人员、供应商、第三方组件提供商、托管服务提供商、运维人员、安全审计机构等。
这些要素在软件开发和运行过程中,按照依赖、组合等形成的供应关系网络,在整个过程中相互协作,保证软件产品和服务的质量和安全性,同时保持生产效率和降低成本。
而所谓软件供应链安全,就是指在软件开发、交付、部署和维护过程中,保护软件生态系统中的各个环节免受恶意活动和威胁的影响,以确保软件的可信性、完整性、可用性、合规性、机密性和业务连续性。
随着数字经济蓬勃发展,软件的价值日益凸显。软件供应链日益成为恶意攻击的目标。近些年来,软件供应链安全事件呈爆发增长的趋势,造成的危害也越来越大,一旦攻击成功便会对企业、政府甚至国家造成安全威胁。Gartner分析指出,到2025年,全球45%组织的软件供应链将遭受攻击,比2021年增加了三倍。
1.1.2.1 安全事件
以下是一些近年来软件供应链安全攻击事件。
2022年6月,攻击者利用开源配置管理系统Config Server系统的安全漏洞,实现了对服务供应商一站式安全断言标记语言(SAML)身份认证平台的供应链攻击。黑客将恶意代码注入Config Server系统,然后通过配置更改将其传递到SAML平台中,从而进一步向客户发起攻击。这种多级供应链攻击实现了隐蔽、持久的渗透。尽管供应商赶忙修补漏洞,但已有数十家客户因此面临安全风险。
2021年12月,Apache Log4j组件曝出CVE-2021-44832远程代码执行漏洞。它允许攻击者通过在日志消息中注入恶意的Java代码来远程执行任意代码,攻击者可以利用这个漏洞执行各种恶意操作,包括服务器劫持、敏感信息泄露和横向移动等,影响范围极大。
2021年11月,npm库coa和rc被恶意代码植入,影响全球React管道,这两个组件在npm库下载量都是千万级别的,在GitHub中也应用于数百万个开源库中。
2021年,中国台湾Realtek的Wi-Fi模块软件开发工具包(SDK)中存在4个严重任意代码执行漏洞,用于约65家厂家制造的近200款物联网(IoT)设备中。
2021年2月,攻击者通过利用开源生态安全机制漏洞,实施依赖混淆攻击,成功入侵了微软、苹果等30余家国际大型科技公司的内网。
2020年12月,SolarWinds Orion事件中攻击者利用了SolarWinds Orion软件的漏洞,在该软件的更新流程中植入了名为Sunburst的恶意代码。Sunburst允许攻击者远程访问受害者的网络,窃取数据并控制系统,这一供应链攻击导致多个政府机构和公司的网络被恶意入侵。
2020年8月,RubyGems Typhoeus库事件,攻击者将名为“cryptocurrency”的恶意代码植入了RubyGems的一个受欢迎库Typhoeus中。当用户安装并使用受影响的Typhoeus版本时,恶意代码会在用户的系统上进行加密货币挖矿。
2018年11月,第三方库事件,一个名为“right9ctrl”的攻击者接管了Node.js库event-stream并在其中植入恶意代码,影响了大量依赖该库的项目。这导致受感染项目,可能被攻击者窃取数据或控制系统。
2017年9月,CCleaner供应链攻击,攻击者利用了软件开发过程中的漏洞,将恶意代码植入某一个版本的CCleaner软件,当用户下载并安装受影响版本时,恶意代码被激活,允许攻击者窃取受害者的数据,影响了220万名用户。
2015年9月,XcodeGhost事件,非官方版本的苹果Xcode开发工具被植入恶意代码而中国开发者在网络上下载了此版本的Xcode。这些开发者用这个工具构建的应用程序都携带了恶意代码,导致App Store中的大量应用受到感染,导致大量iOS应用受到影响。
综合分析上述安全事件可以看出,软件供应链攻击是复杂的,不管是针对国家层面还是针对企业层面,软件供应链攻击都会带来不可弥补的危害。软件供应链安全,作为保障数字生态健康发展的重要环节,具有极为紧迫的重要性。在当今信息社会,数据泄露、投毒风险、知识产权风险、“卡脖子”断供风险等问题,已凸显出其直接关系国家安全、财产安全的重要性。数据的泄露不仅可能导致国家机密外泄、个人隐私受损,还可能被不法分子滥用,对社会秩序和人民生活造成严重威胁。投毒风险和知识产权风险则直接影响科技创新和产业竞争力,给国家长远发展带来潜在风险。而“卡脖子”断供风险更是可能导致国家关键领域陷入瘫痪,损害国家整体安全。
因此,确保软件供应链安全,对于保障国家安全、维护财产安全具有不可替代的重要意义。
1.1.2.2 软件供应链安全风险
软件供应链是一个复杂的生态系统,它包括软件从研发、采购、集成到部署的全过程,涵盖软件供应链上多个参与主体之间的相互依赖关系,这种复杂性使得软件供应链容易受到各种安全威胁和风险的影响。软件供应链风险可以分为两大类:外部风险和内部风险。
1)外部风险
外部风险主要来自外部环境的突发事件,包括供应商、分销商、合作伙伴等外部实体可能引入的安全威胁(见表1-2),影响软件供应链的一个或多个环节,造成供应链中断。
表1-2 软件供应链安全外部风险
2)内部风险
内部风险来自各种参与者和操作过程的不确定性,包括参与者、软件组件和运维,以及组织自身的开发、分发、使用等流程。表1-3分别从开发环节、交付环节、使用环节介绍了软件供应链安全的内部风险。
表1-3 软件供应链安全内部风险
续表
随着软件供应链攻击事件的不断发生,很多国家或地区出台了一系列政策法规及标准来规避软件供应链安全风险。
1.1.3.1 其他国家或地区政策标准
1)其他国家或地区软件供应链安全政策
(1)美国。
2023年11月9日,美国网络安全和基础设施安全局(CISA)、国家安全局(NSA)联合其他部门,发布了关于保护软件供应链安全的新指南《保护软件供应链安全:关于软件物料清单(SBOM)使用的推荐实践》。该指南通过持久安全框架(ESF),为软件开发人员和供应商提供行业最佳实践和原则,包括管理开源软件和软件物料清单等,维护和了解软件安全。
2023年8月,美国网络安全和基础设施安全局(CISA)提出了新的网络安全愿景,强调合作、创新和问责。美国国家标准与技术研究所(NIST)发布了更新版的SP 800-204D,这一版本专注于软件供应链安全在DevSecOps CI/CD流水线中的集成策略。这些政策和标准为软件供应链安全提供了清晰的方向和可操作的程序。
2022年1月1日,美国网络安全和基础设施安全局(CISA)主导成立的ICT供应链风险管理工作组制定了2022年的工作规划,工作组计划将软硬件物料清单及增加对中小企业的影响力作为其供应链风险治理的重点。
2021年5月12日,拜登政府签署了关于改善国家网络安全(EO14028)的行政命令。其中,第4节(e)条款要求:初步指南发布90天内(不迟于2022年2月6日),美国国家标准与技术研究所(NIST)应发布加强软件供应链安全实践的指南,并明确了该指南需包含的10余项具体内容。
2021年1月,美国商务部发布《确保信息和通信技术及服务供应链安全》的最新规则,旨在落实2019年5月15日特朗普政府《确保信息和通信技术及服务供应链安全的总统令》的相关要求,建立审查外国对手的ICT服务的交易流程和程序,禁止任何受美国管辖的人获取、进口、转让、安装、买卖或使用可能对美国国家安全、外交政策和经济构成威胁的外国ICT技术与服务。
2019年5月,美国特朗普政府签署了名为《确保信息和通信技术及服务供应链安全》的行政令,宣布美国进入受信息威胁的国家紧急状态,禁止美国个人、各类实体购买和使用被美国认定为可能给美国带来安全风险的外国设计制造的ICT技术设备和服务。
2018年12月,美国国会通过了《安全技术法案》,《联邦采购供应链安全法案2018》作为该法案的第二部分一并签发。《联邦采购供应链安全法案2018》创建了一个新的联邦采购供应链安全理事会并授予其广泛权利,为联邦供应链安全制定规则,以增强联邦采购和采购规则的网络安全弹性。
2014年,美国国会提议了《网络供应链管理和透明度法案》,意在确保为美国政府开发或购买的使用第三方或开源组件以及用于其他目的的任何软件、固件或产品的完整性。该法案要求制作物料清单(BOM)由为美国政府开发或购买的软件、固件或产品的所有供应商提供的所有第三方和开源组件。该法案中的措辞承认开源是一种关键资源,并清楚地表示开源在政府IT运营中持续发挥着关键作用。该法案是建立透明度的积极的第一步,这是一个非常有价值和可以实现的目标。通过遵守新立法,联邦政府供应商将准确了解他们的代码中的内容,并能够在发现问题时主动解决。
2011年,美国奥巴马政府发布的《网络空间国际战略》中将“与工业部门磋商,加强高科技供应链的安全性”作为保护美国网络空间安全的优先政策。
2009年,美国奥巴马政府在《网络空间安全政策评估报告》中指出,应对供应链风险除了对国外产品服务供应商进行谴责外,更需要创建一套新的供应链风险管理方法。
2008年,美国布什政府发布的54号国家安全总统令(NSPD54)提出了国家网络安全综合计划(CNCI),其部署的一项重要工作就是建立全方位的措施来实施全球供应链风险管理。为落实该计划对ICT供应链安全问题的部署,2008年,美国国家标准与技术研究院(NIST)启动了ICT供应链风险管理项目(SCRM),在原《信息保障技术框架》(IATF)提出的“纵深防御”战略的基础上,提出了“广度防御”的战略,开发全生命周期的风险管理标准。NIST认为,“纵深防御”战略侧重于通过分层的防御体系对网络和系统进行保护,NIST关注的是产品在运行中的安全,因而不能解决供应链安全问题,而“广度防御”战略的核心是在系统的完整生命周期内减少风险,这一认识的变化也奠定了当前ICT供应链安全风险管理方法的基础。
2002年,美国布什政府提出强调关注ICT供应链安全问题的信息安全战略,美国将ICT供应链安全问题提到了国家战略的高度予以重视。
(2)欧盟。
2022年12月,欧洲议会批准了网络信息安全指令(NIS)的更新,被称为NIS2。NIS2是旨在现代化欧盟成员国对网络安全的方法的演变。这些更新包括改进的软件供应链安全性、对关键漏洞的更大关注、通过恶意威胁增加的攻击,以及披露和沟通过程的必要性,如协调漏洞披露(CVD)。
2021年7月,欧盟网络和信息安全局(ENISA)发布了《供应链攻击威胁全景图》,该报告旨在描绘并研究从2020年1月至2021年7月初发现的供应链攻击活动。该报告通过分类系统对供应链攻击进行分类,以系统化方式更好地进行分析,并说明了各类攻击的展现方式。该报告指出,组织机构更新网络安全方法时应重点关注供应链攻击,并将供应商纳入防护和安全验证机制中。
2019年4月,欧盟《外国直接投资审查条例》生效。该条例指出,欧盟有权对参与5G网络等关键基础设施投资的外商进行审查和定期监控,以保障5G网络等关键基础设施的安全性,同时避免关键资产对外商的过度依赖。这也是欧盟保障5G供应链安全的有效工具。
2017年9月,欧洲委员会主席在盟情咨文中提出了《欧盟网络安全法案》。2019年6月,新版《网络安全法》正式施行,取代了旧版《网络安全法》,新版《网络安全法》表现出了欧盟对中国IT供应商在欧洲市场日益增长的影响力的担忧和关切。
2016年上半年,欧洲标准化委员会(CEN)、欧洲电工标准化委员会(CENELEC)与欧洲电信标准协会(ETSI)对欧洲ICT产品和服务的政府采购所适用的可接入性提出了新的标准,即通信技术产品和服务的政府采购所适用的可接入性规定(EN 301 549)。该标准是欧洲首次对通信技术产品和服务的政府采购所适用的可接入性标准,并以法规的形式加以强调。该标准指出,政府部门与其他公共机构在采购通信技术产品和服务的时候,要确保网站服务、软件、电子设备与其他产品具有更好的可接入性,即上述产品与服务的采购要本着让更多人使用的理念出发,体现“以人为本”的原则。
2012年,欧盟网络和信息安全局(ENISA)发布了《供应链完整性ICT供应链风险和挑战概览,以及未来的愿景》报告,并于2015年更新。除了提供可供ICT供应链相关参与者借鉴的实践做法,还建议设立国际评估框架,以有效评估ICT供应链风险管理。
(3)英国。
2022年12月英国政府更新了其网络安全战略,涵盖了供应链漏洞,并指派数字、文化、媒体和体育部(DCMS)与国家网络安全中心合作实施网络和信息系统(NIS)法规。
2019年,《英国电信供应链回顾报告》发布,该报告结合英国5G发展目标,以及5G在经济和社会发展中的作用,强调了安全在电信这一关键基础设施领域的重要意义,并为电信供应链管理展开综合评估。
2014年,在英国可信软件倡议(TSI)及其他机构的努力下,“软件可信度-治理与管理-规范”(PAS754:2014)发布。该规范在英国软件工程上具有里程碑的意义,涵盖了技术、物理环境、行为管理等多个方面,并规定了申请流程,为采购、供应或使用可信赖软件提供帮助,提高业务水平,降低安全风险。
2013年,英国可信软件倡议(Trustworthy Software Initiative,TSI)通过解决软件可信性中的安全性、可靠性、可用性、弹性和安全性问题,提升软件应用的规范、实施和使用水平,在ICT供应链的软件领域建立起基于风险的全生命周期管理。由TSI发布的可信软件框架(Trustworthy Software Framework,TSF)为不同领域的特点术语、引用、方法及数据共享技术提供互通的可能,为软件可信提供最佳实践及相关标准。
(4)日本。
日本在2020年提交一项关于网络技术安全的法案——《特定高度电信普及促进法》,旨在维护日本的网络信息安全,确保日本企业慎重应用新一代网络技术,5G和无人机将是新法的首批适用对象。新法要求日本相关企业在采购高级科技产品及精密器材时,必须遵守三个安全准则:第一,确保系统的安全与可信度;第二,确保系统供货安全;第三,系统要能够与国际接轨。这套准则标明了日本企业应考虑使用日本或欧美的相关产品。同时,日本政府采购也已将华为和中兴排除在外,并考虑在水电和交通等基础设施领域只运用本国数据库,并要彻底防止使用有中国科技产品的其他国家数据库。同时,政府将通过税制优惠措施在内的审批手段,引导企业重用日本本国研发的新一代通信器材。
2)其他国家或地区软件供应链安全标准
(1)美国。
美国针对供应链安全,制定了《联邦信息系统和组织的供应链风险管理实践》( Supply Chain Risk Management Practices for Federal Information Systems and Organizations ,NIST SP 800-161)和《联邦信息系统供应链风险管理实践理论》( National Supply Chain Risk-Management Practices for Federal Information Systems ,NIST IR 7622)这两个影响力较大的标准。
NIST SP 800-161标准规定了ICT供应链风险管理的基本流程,参考了《管理信息安全风险》(NIST SP 800-39)中提出的多层次风险管理方法,分别从组织层、业务层、系统层三个层面,以及构建风险管理框架、评估风险、应对风险和监控风险4个步骤来解决风险。
NIST IR 7622标准给出了供应链风险管理的实施流程。对于高影响系统,ICT供应链风险管理被明确嵌入采购进程中来分析潜在的供应链风险,实施额外的安全控制及供应链风险管理的实践;对中度影响的系统,授权机构应该做出是否实施ICT供应链风险管理的决策;低影响系统不需要实施大量的ICT供应链风险管理。
(2)其他。
ISO 28000系列标准。ISO 28000系列标准主要针对传统供应链安全,包含:《供应链安全管理体系 规划》(ISO 28000:2007)、《供应链安全管理体系 实施供应链安全、评估和计划的最佳实践——要求和指南》(ISO 28001:2007)、《供应链安全管理体系供应链安全管理系统机构审计和认证要求》(ISO 28003:2007)、《供应链安全管理体系 实施指南》(ISO 28004:2007)。ISO 28000015供应链安全国内外形势系列标准帮助组织建立、推进、维护并提高供应链的安全管理系统,明确组织需建立最低安全标准,并确保和规定安全管理政策的一致性;建议组织通过第三方认证机构对安全管理系统进行认证或登记,并对供应链中弹性管理系统提出更明确的要求。ISO 28000系列标准对于ICT供应链安全管理体系的建设具有一定的借鉴意义。
ISO 27036系列标准。在《信息技术 安全技术供应链关系信息安全》(ISO 27036)系列标准中,《信息技术 安全技术供应链关系信息安全 综述和概念》(ISO/IEC 27036-1)对处于多供应商关系环境下相对安全组织的信息和基础设施安全管理进行了概述;《信息技术 安全技术供应链关系信息安全通用要求》(ISO/IEC 27036-2)为定义、实施、操作、监控、评审、保持和改进供应商关系管理规定了通用性的信息安全要求,这些要求覆盖了产品和服务的采购、供应的所有情况,如制造业或装配业、业务过程采购、知识过程采购、建设经营转让和云计算服务,适用于所有类型、规模和性质的组织;《信息技术安全技术供应链关系信息安全供应链安全管理指南》(ISO/IEC 27036-3 ICT)专门针对ICT供应链安全提出了查询和管理地理分散的ICT供应链安全风险控制要求,并将信息安全过程和实践整合到系统和软件的生命周期过程中,且专门考虑了与组织及技术方面相关的供应链安全风险;《信息技术 安全技术供应链关系信息安全 云服务安全指南》(ISO/IEC 27036-4)专门针对云计算服务安全提出要求,在云服务使用和安全风险管理过程中提供量化指标,同时针对云服务获取、提供过程中对组织产生的信息安全应用风险隐患,提供应对指南使其更加有效。
ISO/IEC 20243。ISO/IEC 20243是开放可信技术供应商标准,可减少被恶意污染和伪冒的产品。该标准提出保障商用现货(COTS)信息通信技术(ICT)产品在生命周期内完整性,安全性的最佳实践和技术要求,是针对COTS ICT软硬件产品供应商在技术研发及供应链过程安全的第一项国际标准。
1.1.3.2 我国政策标准
1)我国软件供应链安全政策
2023年6月27日,国家金融监督管理总局发布《关于加强第三方合作中网络和数据安全管理的通知》,要求各银行保险机构对照通报问题,深入排查供应链风险隐患,切实加强整改,严肃处置因管理不当引发的重大风险事件。
2023年6月9日,中国期货业协会向期货公司会员发布《期货公司网络和信息安全三年提升计划(2023—2025)》,旨在引导期货公司持续提升网络安全工作能力和水平,防范化解系统性风险,为服务市场功能进一步发挥和行业高质量发展提供坚实保障。
2022年10月12日,国家市场监督管理总局(国家标准化管理委员会)发布公告,批准2项国家标准。其中,《信息安全技术 关键信息基础设施安全保护要求》作为2021年9月1日《关键信息基础设施安全保护条例》正式发布后的第一个关基标准,将于2023年5月1日实施。《信息安全技术 关键信息基础设施安全保护要求》规定了关键信息基础设施运营者在识别分析、安全防护、检测评估、监测预警、主动防御、事件处置等方面的安全要求。
2022年3月17日,国家能源局印发《2022年能源工作指导意见》。意见要求,加大能源技术装备和核心部件攻关力度,积极推进能源系统数字化智能化升级,提升能源产业链现代化水平。加强北斗系统、5G、国密算法等新技术和“互联网+安全监管”智能技术在能源领域的推广应用。推进电力应急指挥中心、态势感知平台和网络安全靶场建设,组织开展关键信息基础设施安全保护监督检查,推进大面积停电事件应急演练。
2022年2月25日,工业和信息化部印发《车联网网络安全和数据安全标准体系建设指南》,聚焦车联网终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等重点领域,着力增加基础通用、共性技术、试验方法、典型应用等产业急需标准的有效供给,覆盖车联网网络安全、数据安全的关键领域和关键环节。
2022年1月26日,由中国银保监会发布《关于银行业保险业数字化转型的指导意见》,意见从战略规划与组织流程建设、业务经营管理数字化、数据能力建设、科技能力建设、风险防范等方面提出要求;要求坚持回归本源、统筹协调、创新驱动、互利共赢、严守底线的基本原则,在确保网络安全、数据安全的前提下,建设合作共赢、安全高效的经营生态环境。
2022年1月12日,国务院发布《“十四五”数字经济发展规划》,明确“十四五”时期推动数字经济健康发展的指导思想、基本原则、发展目标、重点任务和保障措施。该规划部署了八项重点任务,包括优化升级数字基础设施、充分发挥数据要素作用、大力推进产业数字化转型、健全完善数字经济治理体系、着力强化数字经济安全体系等。
2021年,国家在《“十四五”规划和2035年远景目标纲要》中提出支持数字技术开源社区的发展,鼓励企业开放软件源代码和硬件设计。这是开源软件首次被写入国家总体规划纲要,明确提出支持数字技术开源社区等创新联合体的发展,完善开源知识产权和法律体系,鼓励企业开放软件源代码、硬件设计和应用服务。
2021年11月,国家互联网信息办公室通过《网络安全审查办法》,该办法将网络平台运营者开展数据处理活动,影响或者可能影响国家安全等情形纳入网络安全审查,并明确掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
2021年7月30日,国务院正式公布《关键信息基础设施安全保护条例》明确指出,运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
2021年,国家标准化管理委员会拟通过研究制《信息安全技术 软件供应链安全要求》提升国内软件供应链各个环节的规范性和安全保障能力。
2021年,中国国家市场监管总局发布了《软件供应链安全管理规定》,该规定从软件供应链管理、软件供应链风险评估、软件供应链安全保障和软件供应链事件应对等方面对软件供应链安全进行规范和管理。
2021年9月,人民银行办公厅、中央网信办秘书局、工业和信息化部办公厅、银保监会办公厅、证监会办公厅联合发布《关于规范金融业开源技术应用与发展的意见》(以下简称《意见》)。《意见》要求金融机构在使用开源技术时,应遵循安全可控、合规使用、问题导向、开放创新等原则。《意见》鼓励金融机构将开源技术应用纳入自身信息化发展规划,加强对开源技术应用的组织管理和统筹协调,建立健全开源技术应用管理制度体系,制定合理的开源技术应用策略;鼓励金融机构提升自身对开源技术的评估能力、合规审查能力、应急处置能力、供应链管理能力等;鼓励金融机构积极参与开源生态建设,加强与产学研交流合作力度,加入开源社会。
2020年4月,我国多部门联合发布《网络安全审查办法》,进一步细化明确了网络安全审查的范围、机制、流程等相关要求。
《网络安全等级保护管理办法》(2018年)明确了软件供应链安全评估和监管的要求,要求网络安全等级保护评估机构要加强对软件供应链的安全评估和监管,加强对软件供应商的安全管理和监督。
2017年6月,我国颁布《网络产品和服务安全审查办法(试行)》和《网络关键设备和网络安全专用产品目录(第一批)》。
2016年11月,第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,第三十五条和第三十六条分别从网络安全审查、网络产品和服务安全等角度对供应链安全提出要求。
2016年7月,《国家信息化发展战略纲要》明确我国要建立实施网络安全审查制度,对关键信息基础设施中使用的重要信息技术产品和服务开展安全审查。
2015年7月1日,《中华人民共和国国家安全法》第59条规定了网络安全审查制度由国家建立。该法律规定,国家实行网络安全保护制度,保障网络安全和信息化发展,防范和抵御网络攻击、侵入和干扰,加强软件和信息系统的安全管理和监督。
2014年5月22日,国家互联网信息办公室宣布我国即将推出网络安全审查制度,初步界定了网络安全审查的含义。
2)我国软件供应链安全标准
《信息安全技术ICT供应链安全风险管理指南》(GB/T 36637—2018)。2018年4月,美国商务部发布公告称,美国政府在未来7年内禁止中兴通讯向美国企业购买敏感产品,引起社会广泛关注。该事件反映出我国在某些关键核心部件的研发、生产、采购等环节存在的供应链安全风险,同时凸显出加强我国ICT供应链安全研究、评估和监管的重要性。基于此事件,我国及时出台供应链安全管理国家标准《信息安全技术ICT供应链安全风险管理指南》(GB/T 36637—2018),采用风险评估的思路,从产品全生命周期的角度,针对设计、研发、采购、生产、仓储、运输/物流、销售、维护、销毁等各环节,开展风险分析及管理,以实现供应链的完整性、保密性、可用性和可控性安全目标。
《供应链风险管理指南》(GB/T 24420—2009)。该标准主要针对传统供应链风险管理,在GB/T 24353—2009《风险管理 原则与实施指南》的指导下,参考国际航空航天质量标准(IAQS)9134、美国机动车工程师协会标准SAE ARP 9134和欧洲航天工业协会标准AECMAEN 9134等编制而成,给出了供应链风险管理的通用指南,包括供应链风险管理的步骤,以及识别、分析、评价、应对供应链风险的方法和工具,适用于任何组织保护其在供应链上进行的任何产品的采购。
《信息技术产品供应方行为安全准则》(GB/T 32921—2016)。为贯彻落实《全国人民代表大会常务理事会关于加强网络信息保护的决定》的精神,加强信息技术产品用户相关信息维护,该标准规定了信息技术产品供应方在相关业务活动中应遵循的基本安全准则,主要包括收集和处理用户相关信息的安全准则、远程控制用户产品的安全准则等内容。
我国其他ICT供应链安全管理相关标准或文件包括:
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)、银办发〔2021〕146号《关于规范金融业开源技术应用与发展的意见》、《信息安全技术 政府部门信息技术服务外包信息安全管理规范》(GB/T 32926—2016)、《信息安全技术 云计算服务安全能力要求》(GB/T 31168—2014)。
软件供应链具有开放性、复杂性和全球性特征。随着数字化转型的推进,全球软件供应链的攻击事件不断增加,软件供应链安全也成了网络安全领域的焦点之一。企业和组织需要保障自身的软件供应链安全,以确保所使用的软件在开发、分发和维护过程中没有受到恶意篡改或漏洞利用,软件供应链安全成了整体软件市场的一个重要组成部分。
1.1.4.1 市场驱动因素
1)国际
Sonatype发布的《2021年软件供应链状况报告》中数据显示,2021世界上软件供应链攻击增加了650%,呈指数级增长。以Synopsys发布的《2023年开源安全和风险分析报告》中可以看出,包含开源代码的代码库占比逐年上升(见图1-1)。在2023年,即便是占比最低的行业(制造业、工业和机器人),也有92%的代码库中包含开源代码。
在所有的被测代码库中,76%为开源代码库,其中84%的代码库包含至少一个已知开源漏洞,比《2022年开源安全和风险分析报告》(OSSRA)增加了近4%,有48%包含高风险漏洞。虽然引入开源可以加速开发、降低成本,但是开源软件中可能存在未知的漏洞和安全性问题,一旦遭受利用,那么整个软件供应链可能会受到威胁。
例如,Log4j2作为Java代码项目中广泛使用的开源日志组件,它的一个严重安全漏洞曾给全球的软件供应链生态造成严重的影响。SolarWinds Orion软件更新包在2020年年底被黑客植入后门,此次攻击事件波及范围极大,包括美国政府部门、关键基础设施及多家全球500强企业,影响难以估计。
图1-1 按行业划分的开源大妈和安全漏洞情况
数据来源:Synopsys《2023年开源安全和风险分析报告》。
软件供应链安全涵盖软件开发环节安全、第三方组件和库的安全、供应链中间环节安全、软件分发和部署安全、供应链透明度和可信度、合规性和法规要求等方面,国际社会一直高度关注软件供应链的安全性。从国家层面来看,软件供应链存在安全性问题和脆弱性特点,许多国家在多年前就尝试制定了本国的软件供应链安全措施,陆续出台了各种法律法规和技术标准。
美国和欧盟都发布了新的供应链安全相关要求法案,要求厂商评估供应链数字化产品的安全性,还要求企业必须通过披露SBOM、源代码安全检测等手段提升软件产品安全性,才能继续正常销售。该法案的提出旨在保护供应链安全,防止供应链安全安全事件再次发生。
2022年9月14日,美国白宫发布《通过安全的软件开发实践增强软件供应链的安全性》备忘录。该备忘录要求供应商产品提供证明其符合安全软件开发框架的文档。
备忘录主要针对联邦政府的供应商,要求供应商对产品进行安全自证,如果为联邦政府重点关注的产品,则需要第三方评估。备忘录中的重点内容如下:
(1)供应商的自我认证可以被经过认证的美国联邦风险和授权管理计划(FedRAMP)第三方评估组织(3PAO)提供的第三方评估,或由机构批准的第三方评估取代,当供应商的产品包含开源软件时,3PAO使用NIST指南作为评估基线。
(2)备忘录所指的“软件”包括固件、操作系统、应用程序和应用程序服务(如基于云的软件),以及包含软件的任何产品。
(3)如果为联邦政府重点关注的产品,软件开发者则需提供详尽的SBOM。
(4)联邦政府可能需要SBOM以外的安全证明,如源代码扫描报告、漏洞扫描报告等。
欧洲议会和理事会现在将审查《网络弹性法案》草案,该法案预计在2024年生效。新标准颁布后,经济运营商和成员国有两年时间适应新标准,违反规定的公司将面临最高1500万欧元或全球营收2.5%的罚款。
欧盟《网络弹性法案》主要针对出口到欧盟的数字化产品,带有软件的产品制造商应做到以下几点要求:
(1)提供至少需包括产品的顶层依赖关系的软件材料清单SBOM。
(2)通过提供安全更新等方式立即解决数字化产品中发现的漏洞。
(3)对数字化产品的安全性进行有效和定期的测试和审查。
(4)在提供安全更新后,公开披露有关已修复漏洞的信息,包括漏洞的说明、允许用户识别受影响的数字元件的信息、漏洞的影响、漏洞的严重性及帮助用户补救漏洞的信息。
(5)制定并实施漏洞协调披露政策。
(6)提供联系地址,以便报告在数字化产品中发现的漏洞。
(7)规定分发数字化产品安全更新的机制,以确保可利用的漏洞及时得到修复或缓解。
(8)确保在提供安全补丁或更新以解决已查明的安全问题的情况下,立即免费分发这些补丁或更新,同时向用户提供有关信息,包括可能采取的行动的建议信息。
2)国内
我国已发布《信息安全技术ICT供应链安全风险管理指南》(GB/T 36637—2018),并且正在制定软件和IT产品供应链安全要求的国家标准,顶层规范正在不断完善。根据目前的状况,该标准建议加快构建我国的软件供应链安全标准化体系,为软件供应链相关组织机构、企业和人员提供更多操作性较强的指导细则。
在新标准制定方面,推进软件安全开发、软件供应链安全工具能力评估、开源软件安全使用、软件代码安全测试、SBOM数据格式、软件安全标识等方向实践指南的研究和编制,明确详细技术要求和流程规范等。
在已有标准使用方面,对已发布的安全编程、代码安全审计、漏洞检测、软件安全检测等方面的国家标准进行系统研究,分析它们对软件供应链安全的技术保障作用,从中梳理出具体操作指南,加大宣传力度并推广使用,必要时可考虑进行修订。
数字化转型、供应链攻击事件增多、法规合规要求的增加都在不同程度上推动了软件供应链安全市场的增长。经分析,软件供应链安全市场驱动因素有以下几点:
(1)传统网络安全采购趋于饱和。传统的信息化采购和维保已经相对饱和,未来主要会以保持平稳为主要特征,即稳定的市场需求。
(2)法规合规要求增加。政府和监管机构对于软件供应链安全的要求逐渐提高。企业需要遵守各种合规要求,包括数据隐私法规、行业标准等,这将推动他们寻求更加全面的供应链安全解决方案。
(3)数字经济驱动需求增长。数字经济的发展将驱动信息系统的新建、升级和重构,这会促使网络安全需求持续增长。随着各行业的业务数字化转型,对网络安全的依赖程度将越来越高,从而为网络安全市场提供增长机会。
(4)供应链攻击事件增多。近年来供应链攻击事件不断增多,这使得企业和组织对软件供应链的安全问题更加重视。供应链攻击的威胁性使得市场对供应链安全解决方案的需求不断增加。
(5)企业对供应链透明度的需求增加。企业越来越需要了解企业供应链中的每个环节,以便及早发现和解决潜在的安全风险。这种需求促使企业寻求供应链安全解决方案,以提高整体透明度。
(6)新技术的发展。新兴技术(如人工智能、区块链等)逐渐应用于软件供应链安全领域,这些新兴技术能够提供更强大的安全防护和监控能力,从而创造更多的市场机会。
(7)海外市场机遇。国内网络安全企业在海外市场也有机遇,随着国际市场的开放和国家海外利益的保护,以及一些地区的数字化加速,海外市场成了一个潜在的增长点。
(8)国际竞争关系。在国际竞争关系错综复杂、网络空间安全对抗日益加剧的新形势下,竞争的战场已不再仅是企业之间的业务竞争,而是延伸到重要领域信息技术供应链之间的竞争。
数字经济的发展驱动信息系统的新建、升级和重构,这促使网络安全需求持续增长。网络安全企业需要灵活应对市场变化,不断创新和提升自身的能力,以适应不断变化的市场需求。总结来看,软件供应链安全领域在需求侧驱动下,发展正当时。
1.1.4.2 市场规模和增长趋势
软件供应链安全的市场规模要依托于整体软件市场。根据Gartner 2022年的数据报告,全球软件市场在近年来持续扩张。仅2022年,全球软件支出达到了6748.89亿美元,其中IT服务支出高达12651.27亿美元。2022年预测,2023年全球软件市场规模达到7548.08亿美元,同时IT服务支出规模预计将达到13728.98亿美元,软件市场呈现出强劲增长的趋势(见图1-2)。
根据巴西软件行业协会(Abessoftware)和互联网数据中心(IDC)公布的2022年统计数据(见图1-3),就软件及服务支出排名而言,美国在2022年以支出额高达7890亿美元的成绩高居榜首;其次是英国,其支出为1060亿美元;日本的支出为940亿美元紧随其后。中国的软件及服务支出为77亿美元,在排名中位列第五。这些数据凸显了美国在软件及服务领域的地位。
图1-2 2020—2023年全球软件行业市场规模及预测(单位:亿美元)
图1-3 2022年全球各国软件及服务支出排名(单位:十亿美元)
2023年3月,互联网数据中心(IDC)发布了2023年V1版《全球网络安全支出指南》,该指南从技术、垂直行业、终端用户企业规模等多个维度回顾了2022年网络安全市场,同时预测了未来市场发展情况(见图1-4)。该指南显示,2022年全球网络安全总投资规模为1955.1亿美元,有望在2026年增至2979.1亿美元。其中,中国网络安全支出规模137.6亿美元(约合977亿元人民币),到2026年预计接近288.6亿美元,五年复合增长率将达到18.8%,增速位列全球第一。
图1-4 中国网络安全市场规模及预测(单位:百万美元)
近年来,我国软件和信息技术服务业在数字化转型和创新驱动下表现出了强劲的增长势头,业务收入和效益都保持了较快的增长(见图1-5)。
图1-5 2013—2022年中国软件和信息服务业收入及增速
截至2022年,我国软件业完成了108126亿元软件业务收入,同比增长11.2%。尽管增速相较于2021年同期有所放缓,但依然呈现出强劲的增长势头。其中,信息安全产品和服务收入达到2038亿元,同比增长10.4%,占比软件业务收入1.88%(见图1-6)。
图1-6 2022年中国软件行业分类收入
针对安全牛报告中结合网络安全企业细分项收入数据统计,如按照软件业务中软件供应链安全投入占比1.04%的计算(见图1-7),我国软件供应链安全细分市场具有将近1000亿元的潜在市场容量。
2023年上半年,美国开展RSAC大会创新沙盒活动,其中10强企业近年来主要集中在云安全、数据安全、软件供应链安全、身份安全4个热门赛道,由此可以看出,软件供应链安全将成为网络安全市场发展的“新风口”。
软件供应链安全市场是一个具有潜力的市场,目前还处于发展的初级阶段。随着全球软件产业的不断发展和软件供应链攻击的不断升级,软件供应链安全市场的规模和重要性也将逐步扩大,呈现出不断创新和变革的态势。
1.1.4.3 市场产品与解决方案
企业的数字化转型使其依赖于更多的软件和技术,而这些产品由多个供应商提供,增加了整个供应链的复杂性和风险,而软件供应链安全保障工作的落地离不开安全工具的建设使用。随着数字化转型和技术的创新,以及日益迫切的软件供应链安全需求,安全工具建设及使用将步入快车道,国家及企业层面将聚焦核心技术创新和自主产权发展方向,加大研发投入,着力提升恶意代码检测、漏洞分析、协议分析、软件成分分析等技术水平,不断提高软件产品安全缺陷和软件成分的发现能力。
图1-7 中国网络安全细分领域营收占比
软件供应链安全成为当今网络安全领域的一个重要议题,企业逐渐意识到供应链安全的重要性,并采取措施保护其供应链的安全。基于此类需求侧,市场上也涌现了大量的软件供应链安全解决方案和产品。
2022年年初,安全类垂直媒体“安全419”推出《软件供应链安全解决方案》系列访谈,在对多家业内主流软件开发安全领域厂商的走访调研过程中,观察到以IAST、SCA、RASP的产品组合形式,已经成为当前开发安全领域应对应用安全风险的主流方案。
2023年4月,安全类垂直媒体“安全牛”发布第10版《中国网络安全行业全景图》,其中软件供应链安全为网络安全行业重要一级分类。并在第10版《中国网络安全行业全景图》中,将软件供应链安全划分为开发流程安全管控、DevSecOps、静态安全测试、动态/模糊安全测试、交互安全测试、软件成分分析六大领域。
(1)开发流程安全管控。开发过程中的安全管理对于预防和识别潜在的安全风险至关重要,包括安全需求分析、安全编码规范、安全审查等。在开发流程中引入安全控制,可以降低后续阶段的安全风险。
(2)DevSecOps。DevSecOps是将安全集成到DevOps流程中的方法,强调持续安全、持续监测和持续改进。DevSecOps助于确保软件在整个供应链中始终保持安全状态,减少漏洞的传播和影响。
(3)静态安全测试。静态安全测试是在代码编写阶段进行的安全检测,旨在发现潜在的漏洞和弱点,有助于在代码被编译和执行之前识别和修复安全问题,防止漏洞进入软件供应链。
(4)动态/模糊安全测试。动态和模糊安全测试在运行时模拟实际攻击场景,帮助发现运行时的安全问题,有助于识别可能的漏洞和风险,以及在实际运行时的安全隐患。
(5)交互安全测试。交互安全测试关注软件与外部环境的交互,包括与其他应用、系统、用户等的互动,有助于确保软件在不同的交互情况下都能保持安全,不受攻击和滥用。
(6)软件成分分析。软件成分分析关注于识别和跟踪软件中使用的第三方组件和开源库,有助于了解软件中可能存在的漏洞和安全隐患,以及及时更新和修复。
安全牛将软件供应链安全划分为六大领域,这些领域为市场上较热门的软件供应链安全解决方案和产品,每个领域都有其特定的目标和方法,有助于形成综合的供应链安全策略,帮助企业应对软件供应链中各种安全问题,保障整个供应链的安全性和稳定性。
在过去的10年里,DevOps在各行各业得到了广泛的应用,越来越多的安全企业向DevSecOps过渡,DevSecOps的日益普及表明,软件和应用服务提供商越来越多地将安全集成到软件开发生命周期(SDLC)中,优秀的供应商可基于构建强大安全软件模型进行功能列表的不断增加。顶级DevSecOps供应商提供一整套应用程序安全测试工具,包括静态应用程序安全测试(SAST)、动态和交互式分析测试(DAST和IAST)及软件组合分析(SCA)。DevSecOps工具可以在为客户或利益相关者构建可靠、安全和合规的软件解决方案方面发挥重要作用,其主要工具包括传统应用程序安全测试(AST)工具套件和其他工具。传统应用程序安全测试(AST)工具套件包括静态应用程序安全测试(SAST)、动态应用程序安全测试(DAST)、交互式应用程序安全测试(IAST)、软件组成分析(SCA)、静态代码分析、漏洞扫描;其他工具包括容器安全、持续集成/持续交付(CI/CD)、日志分析、渗透测试、Web应用程序防火墙(WAF)。
图1-8是DevSecOps安全工具金字塔模型,其底部工具是基础工具,随着组织DevSecOps实践的成熟,组织可能期望使用金字塔中更高层的解决方案。
图1-8 DevSecOps安全工具金字塔模型
在国外(以美国和欧洲国家为主),DevSecOps已经发展成一个成熟的市场。在互联网数据中心(IDC)2022年发布的《DevSecOps采用情况、技术和工具调查》(IDC#US48599822,2022年8月)中,受访者被问及他们对DevSecOps各个方面的置信水平,软件供应链安全的置信度得分最低。此外,开发团队越来越多地使用开源软件和软件供应链漏洞成为排名第二和第三的两个应用程序安全缺口或暴露点。软件供应链安全市场不断发展,新的竞争对手不断涌入该领域。互联网数据中心(IDC)预计,供应商努力开发成熟的解决方案并应对这些挑战,创新、兼并和收购在这一领域将持续进行。