本章围绕软件供应商是什么、为什么需要治理、如何治理分为三小节,首先介绍软件供应商在软件供应链中所处的位置,即软件供应商与供应链上下游的关系,以及其影响范围;其次介绍软件供应商安全治理的意义,即为何需要做供应商治理,以及治理成效对于企业的价值与意义;最后介绍软件供应商安全治理实践五环节,即如何做到软件供应商治理。
随着贸易全球化的发展,软件产品的跨国流通越来越频繁。软件供应链作为一个复杂且庞大的系统,涉及上游安全、开发安全、交付安全、使用安全和下游安全等环节,其流程链条长,供应商众多。风险威胁点潜藏于各个环节中,攻击者可能以各薄弱环节作为攻击渗透点,对软件进行攻击或篡改。其中,软件供应商作为供应链上游,完全有可能、有条件引入安全威胁,供应商自身及其开发软件的安全性深刻影响着软件供应链的各个环节(见图4-1)。若未对软件供应商严格把控、做好安全风险治理,其潜在的风险将影响软件供应链各个环节,污染下游企业,并最终影响最终用户安全。
图4-1 供应链结构模型
4.1.2.1 降低风险
通过对软件供应商进行安全治理,尽早采取安全管控措施,组织可以识别软件供应商自身的风险经营情况,识别其开发软件中技术构成与软件成分,获悉其中潜在的安全威胁点,提升组织自身对于中断供应等风险的防范能力,将安全移至最“左”端,从而降低供应商引入阶段可能带来的诸如漏洞、侵权、数据泄露、软件断供等风险。
4.1.2.2 降本增效
通过软件供应商安全治理,在软件引入前期对其安全性及潜在威胁进行分析与风险评估,避免安全攻击、数据泄露等问题对企业造成经济损失;当发生供应商相关安全事件时,软件供应商安全治理能帮助运维人员快速定位威胁渗入点、确定漏洞影响范围,降低人员运维成本、提高修复效率。
4.1.2.3 培养长期合作关系
通过对供应商进行多维度评估、风险跟踪、加大监督力度,建立企业内部供应商评估模型与供应商安全管理制度,培养长期可靠的合作关系。
4.1.2.4 推动建设安全可信的软件供应链生态
通过加强供应双方交流,对供应商技术能力、服务能力、安全运维能力等进行多维度督促,在推进软件供应链上下游安全治理的同时,共同建设一个安全可信、透明健康的软件供应链生态环境。
软件供应商安全治理应贯穿软件供应链各个环节,如图4-2所示。
图4-2 软件供应商治理流程
4.1.3.1 明确软件供应商安全治理总体方针
本阶段企业人员需梳理核心业务需求、安全需求,同时结合政策法规要求,以领域指标为导向,设立针对软件供应商安全治理的总体方针。若企业是出口型国际企业,还需考虑出口地的软件安全政策法规要求。
4.1.3.2 软件供应商资质评估
本阶段企业需严格遵守4.1.3.1节的总体方针,明确软件供应商评估标准,包括供应商资质评估标准、供应商提供的软件产品安全评估标准,形成一套完善的供应商评估参考表。
4.1.3.3 软件供应商风险评估
本阶段企业需结合领域政策法规形成对软件供应商全面的安全检测评估方案,并确定安全检测实践方法;同时借助软件安全检测工具等对供应商提供的软件产品进行全面、详细的风险评估与检测。
4.1.3.4 软件供应商引入
在引入软件供应商过程中,企业需以总体方针为主线,结合供应商资质评估标准、风险评估实践与结果,选择最优软件供应商,并明确合同签订内容。
4.1.3.5 软件供应商治理职能确立
本阶段企业需明确软件供应商安全治理所涉及的相关部门与人员,确保各环节、各阶段职能细分,责任明确,建立相应的监管制度;确保软件供应商能够提供高质量和安全的软件服务,将潜在的安全威胁降到最低。
4.1.3.6 软件供应商风险监控
软件上线后,企业需对软件供应商持续进行安全监测,定期进行安全性检查、风险评估。提前与供应商确定事件响应计划、升级与变更管理、安全应急事件响应预案,密切关注软件运营反馈,及时处理业务需求与安全反馈。
4.1.3.7 软件供应商清退
企业需提前制定软件供应商清退标准,即哪些情况下,企业需对软件供应商进行清退;同时,与供应商共同明确清退流程,包括服务下线方案与计划、明确隐私保护合规方案,确保数据留存符合最小化原则。执行软件供应商清退时,需严格遵循清退标准,保证流程步骤清晰明确、具备可操作性,并保证企业利益不受损。