DSO 2022 | 云大所郭雪：中国信通院软件供应链安全标准体系建设

2022年12月28日，由悬镜安全主办，3S-Lab软件供应链安全实验室、ISC互联网安全大会、Linux基金会OpenChain社区、OpenSCA社区联合协办的通过全球直播的形式圆满举行。本届大会以“共生·敏捷·进化”为主题，以“敏捷共生，守护中国软件供应链安全”为使命，立足全球视野，汇聚来自“产学研用”各界的顶尖技术专家、行业意见领袖、资深学者智囊、企业精英代表，聚焦DevSecOps敏捷安全、软件供应链安全和云原生安全三大典型应用场景下的新技术、新态势、新实践。

其中，中国信息通信研究院云计算与大数据研究所开源和软件安全部副主任郭雪在主题演讲中，分享了中国信通院在软件供应链安全标准体系建设方面的丰硕成果。

图1 中国信通院云大所开源和软件安全部副主任 郭雪

以下为演讲实录：

大家好，我是来自中国信通院云大所的郭雪，非常高兴能够参加第二届全球DevSecOps敏捷安全大会，借此机会与大家分享信通院近期关于软件供应链安全相关标准的研制情况和编制思路。

在国家标准中，供应链是指生产及流通过程中，围绕核心企业，将所涉及的原材料供应商、制造商、分销商、零售商直到最终用户等成员通过上游或下游成员链接所形成的网链结构。

软件供应链概念是由传统供应链概念扩展而来。在研的软件供应链国家标准给出了软件供应链的定义：指为满足软件供应关系通过资源和过程将需方、供方相互连接的网链结构，可用于将软件产品和服务提供给需方，包括协商、生产、交付、获取、维护、废止等过程。

图2 软件供应链概念是由传统供应链概念扩展而来

产业侧对软件供应链的关注和理解则侧重于通过层层依赖的软件进行的攻击。软件供应链安全指软件供应链上软件设计与开发的各个阶段中来自本身的编码过程、工具、设备或供应链上游的代码、模块和服务的安全，以及软件交付渠道及使用过程安全的总和。软件供应链安全贯穿从设计、开发、验证、交付、应用到下线的软件供应链全生命周期，涉及信息泄露、漏洞攻击、越权访问等多种类安全风险类型。

软件供应链安全从供应关系出发，按角色可划分为采购方（需求方）和供应商（供给方）两种角色。在供应链中，一个特定组织可能既是上游组织的需方，也是下游组织的供方，与其上下游组织均存在供需关系。

放眼全球，软件供应链安全事件呈指数级增长。Sonatype的第八次年度软件供应链状况报告显示，全球范围内每月有12亿易受攻击的依赖项被下载，表明企业受攻击面持续扩大，而且过去三年，软件供应链攻击的平均年增长率高达742%。Gartner预测，到2025年，45%的企业组织将经历对其软件供应链的攻击。Anchore《2021年软件供应链安全报告》显示，64%的受访者称在过去一年里受到了供应链攻击的影响。

随着软件供应链攻击事件影响范围的逐渐扩大，企业关注及投入程度却仍待提升。ISACA（国际信息系统审计协会）《供应链安全差距：2022年全球研究报告》显示，在接受调研的全球1300多名IT专业人员中，30%的受访者认为所在组织机构领导人员并未充分了解供应链风险，只有不到一半（44%）的受访者表示对组织机构的供应链安全很有信心。报告同样显示，只有半数企业（53%）对其软件供应链进行漏洞扫描和渗透测试。

混源开发是企业主要开发模式，开源软件已成为软件供应链重要组成部分。全球各行业开源应用均占据较高比例，随着开源应用的逐渐加深，开源软件成为各行业信息系统的重要组成部分。与此同时，开源本身存在的安全问题复杂且影响深远，涉及信息安全、知识产权、供应链等多个方面。

图3 全球各行业开源应用占比

针对软件供应链安全现状，国际标准组织以实际行动积极推进软件供应链安全共识，出台了大量标准规范，如ISO/IEC 27036标准旨在降低采购方和供应方在供应关系中存在的信息安全风险；ISO/IEC 20243标准针对信息通信技术硬件和软件在产品生命周期内面临的完整性威胁；ISO 28000标准为各类组织开展供应链安全管理提供了一个较为系统的管理模式；NIST SP 800-161标准给出19类ICT供应链安全控制措施。

我国也不断重视软件供应链安全问题，逐步完善软件供应链安全标准及管理工作，如《关键信息基础设施安全保护要求》中的GB/T 39204-2022标准、《ICT 供应链安全风险管理指南》中的GB/T 36637-2018标准等。值得一提的是，2022年信通院在全国信息安全标准化技术委员会立项了一个关于开源安全管理的国家标准即《信息安全技术 软件产品开源代码安全评价方法》。该标准是信通院软件供应链安全标准体系的一部分。

信通院软件供应链安全标准体系涉及三大环节和五大模块，即整个体系是围绕从引入、生产到应用的软件生命周期，从软件供应链安全管理体系、开源治理体系、可信研发运营安全、软件物料清单（SBOM）、安全平台和工具链等五个维度展开。

图4 信通院软件供应链安全标准体系

模块一：软件供应链安全管理体系

这一模块所涵盖的标准侧重于软件供应链交界面的安全管理，要求针对供应链引入、生产和应用全链路建立软件供应链安全保障要求。在引入阶段，指出用户侧企业应重点关注商业产品、开源软件、合作开发、云服务第三方非自研软件、代码，围绕代码来源明确、代码质量安全、知识产权合规、软件物料清单规范、责任划分清晰等重点内容。在生产阶段，从要求到停用下线的各个环节，需要进行安全管理。在应用阶段，需要进行交付物检查并具备完整的服务支持、运行监控和退出管理机制。整个模块关注的重点是代码来源可信、安全测试评估、软件物料清单构建和动态安全防护机制建立。

在落地相关标准测试评估过程中，我们发现产业目前对于软件供应链安全管理仍处于摸索阶段，主要由安全部门牵头或者建立虚拟组织来解决相应问题。在软件供应链安全管理体系建设过程中，企业组织面临诸多痛点如软件物料清单建设尚处于起步阶段、老旧系统梳理存在难点、开源治理面临挑战、管理体系仍待完善等。

模块二：开源治理体系

重点与大家分享两大标准。

第一个是由信通院牵头立项的开源代码安全国家标准《信息安全技术 软件产品开源代码安全评价方法》，其体系架构包括代码来源指标、代码质量指标、代码知识产权指标和代码成熟度指标，每项指标又包含若干个指标评价要素。

图5 《信息安全技术 软件产品开源代码安全评价方法》标准体系架构

第二个是已经发布的《开源软件治理能力成熟度模型》，通过规范企业内部开源治理体系，帮助企业构建从开源软件引入、使用、维护到退出的全生命周期治理制度；梳理开源使用中的开源知识产权、安全漏洞以及通过供应链传递的风险，帮助企业提升开源软件管理能力。

在十余家企业组织进行标准测试的过程中，我们洞察到开源治理发展迅速，自动化治理程度较高，主要体现在三方面：具备科学的准入和选型体系、具备开发测试及运维标准、具备自动化管理工具与平台。但是我们也发现，企业在人员培养和知识管理方面存在一定不足。

模块三：可信研发运营安全

该模块的标准聚焦软件供应链的生产阶段，要求在涉及需求、设计、研发、验证、发布、运营、下线的软件应用服务全生命周期之中，从初期便引入安全，采取相关技术与管理手段，避免漏洞与威胁的产生，加固应用服务安全，提升软件质量。

《可信研发运营安全能力成熟度模型》是该模块主要标准，规范了企业研发运营安全能力的成熟度水平，自低向高依次分为基础级、增强级和先进级。该标准指出可信研发安全体系落地有四大要点：

● 自上而下推动体系落地，建设安全文化，打破研发与安全壁垒；

● 建立调度及协作流程，协调人员与资源，规范人员操作；

● 构建研运安全工具平台与工具链，无缝嵌入现有研发流程；

● 进行数据反馈，形成安全闭环，不断优化流程实践。

图6 《可信研发运营安全能力成熟度模型》能力要求

在十余家企业组织进行标准测试评估的过程中，我们发现在研发层面，受攻击面分析已成企业基本要求，但需求挖掘、编码安全及开源管控相对存在不足；在运营层面，企业的安全防御技术相对成熟，但仍待加强安全反馈及主动防御工作。

模块四：软件物料清单（SBOM）

SBOM通过提升供应链透明度，已成为软件供应链安全管控硬抓手。SBOM标准如《软件物料清单（SBOM）建设总体框架》属于接口标准，主要是推动数据传输的标准化。在制定SBOM标准的过程中，我们参考了业界SBOM格式规范如SPDX等，对数据层、生成层和应用层提出了相应的规范要求。

模块五：安全平台和工具链

软件供应链安全保障需要相应的平台和工具链。我们既针对单独工具包括SAST、IAST、SCA和RASP制定了相应的标准，又针对研发运营安全（DevSecOps）平台制定了标准，对安全开发、安全交付、安全运营和平台管理提出相关能力要求。

这次重点与大家分享RASP标准，该标准的制定工作从2022年下半年启动，于近期刚刚完成。RASP并不是一个新的概念，在2014年就已被Gartner提出。RASP是一种运行时应用自我保护程序，可注入到应用程序中，与应用程序融为一体，实时监测、阻断攻击，使应用程序拥有自保护能力。近年来RASP关注度的提高与许多安全事件息息相关，如针对Log4j2.x漏洞等未知威胁，RASP是一个很好的解决方式。RASP具有实时发现与阻断、误报或漏报率低、兼容性强和覆盖面广、维护成本低以及防护全面精准等优势。

图7 RASP可注入到应用程序中，与应用程序融为一体

RASP标准从用户视角出发，涵盖检测分析、工具灵活性、分析辅助、工具扩展性、兼容、安全性、服务支持等七大能力要求，指导厂商进行安全工具建设，帮助用户进行选型参考。其中，检测分析能力是工具的基础要求，涵盖支持的开发语言、传输协议、业务场景等；工具灵活性能力适配用户需求，包括扫描分析配置能力要求、告警能力要求、性能熔断配置等；分析辅助能力可以快速定位缺陷并集中管理，除要求支持缺陷快速定位外，还要求支持防护任务的集中管理与展示等；扩展性能力可以增强工具适配性，包含防护规则自定义等；兼容能力决定工具使用环境；安全性能力保障工具安全基线，包括传输安全、访问控制、自身安全、身份鉴别等；最后，服务支持能力可以提升用户体验，要求支持售前售后服务、安装以及二次开发。

我们依托标准展开首批运行时应用程序自我保护（RASP）工具能力测试评估时，主要是对工具的能力及性能进行检测。测试评估工作在具体落地时，我们会运行相应工具并导出报告，同时进行漏洞数量和类型的比对和校验，记录工具的漏报率和误报率，其中漏报率和误报率均要求低于10%。目前有三家产品通过了RASP标准首批评估，其中包括悬镜安全的云鲨RASP。

在对各类安全平台和工具链标准进行测试的过程中，我们发现工具功能项已基本完备，但准确率及语言覆盖度仍有提升空间。

软件供应链安全管理体系能帮助企业有效控制安全风险，在降低成本的同时提高效益，同时还可以提升团队的协作意识、安全意识和责任意识。信通院将持续推进软件供应链安全技术、框架等相关研究，在标准层面，将于2023年推进《面向供应链的软件合作开发安全能力要求》和《软件开发环境安全保护能力要求》的研制工作；此外会陆续开展软件供应链安全系列评估和持续发布《软件供应链厂商和产品名录》。

以上就是我分享的内容，感谢大家。