CCIA 技术沙龙 | 中国移动：厘清铸造安全软件供应链的来龙去脉

2023 年 4 月 14 日，由中国网络安全产业联盟（CCIA）和悬镜安全联合举办的“数字供应链安全治理与实践”技术沙龙在京圆满举办。

在本次技术沙龙上，中国移动高级业务安全专家郑国忠进行了题为“软件供应链安全：从威胁到解决方案”的主题分享，围绕当前软件供应链所面临的安全形势，从真实场景实践出发，详细解读了中移杭研在软件供应链安全层面的相关思考与治理模式。

中国移动高级业务安全专家郑国忠

软件供应链安全作为当下相对火热的话题之一，尤其在开源软件已经成为软件应用的重要组成部分，企业所面临的软件供应链安全形势也比以往更加复杂。企业在面对软件供应链安全时应该如何防护，如何建立起一套长效防护机制，也正是当前许多企业所亟需解决的问题。

接下来将会从 4 个视角来分析出当前软件供应链安全的形势以及所面临的挑战。

当前，随着开源理念的深入人心，其已经逐渐发展成为企业数字化转型的“核动力”。根据下图可以得知，近几年 GitHub 上的年用户增长率维持在 28%左右。从行业使用者角度来看，在被调查的 1700 多个开源库当中，计算机、网络安全等领域百分百使用了开源软件。

由此可见，开源已成为软件技术创新和协同发展的重要模式，呈现出向数字技术各领域全面拓展的蓬勃之势，为软件赋能经济高质量发展带来重要机遇，已成为数字经济的基础设施与底座。

但是开源并非百利而无一害，纵使采用开源软件能够为企业节省大量的研发资源，提升企业运营效率，但开源本身的特性就决定了其本身所存在的安全漏洞很难被针对性发现。且一旦一款被大规模应用的开源软件具有高危安全漏洞，这对于企业来说无疑是一次非常重大的打击。

近几年，针对软件供应链的攻击愈发普遍，尤其是针对被大量应用的开源项目，其往往会对企业带来相当高的安全风险。比如太阳风供应链攻击事件，其影响了超过 18,000 名客户；log4j2 漏洞，影响 6 万+开源软件；kaseya 公司遭勒索软件攻击事件，导致了 1500 多家企业的文件被恶意加密，被勒索超 7000 万美元。

以美国为代表的西方国家较早认识到供应链在经济发展中不可替代的作用，将供应链从企业微观层面上升到国家战略的宏观层面，将供应链政策作为提升产业竞争力重要手段。我国虽然起步较晚，但在相关政策、法规及标准方面，已经形成了覆盖范围更广、目标更明确的局势。

在企业层面，软件供应链的安全伴随着企业完整的生命周期。然而针对于软件供应链的攻击，在采购引入、外包后门、开发工具污染、自主开发引入、升级更新劫持等环节中层出不穷，单点的防御检测已经无法满足企业对于软件供应链安全防御的需求。只有统一的治理和统一的合理规划，才能够形成一套标准的软件供应链的防御体系。

根据软件供应链的特点，参考行业解决思路，可以从“组织保障、流程建设、场景识别、能力固化”这四个方面来开展治理工作。

软件供应链安全防护总体架构

组织保障：由于安全是无法直接产生利益的，且一定会增加工作量。但如果不做安全，所暴露出的问题往往会对企业的业务、品牌造成更大的负面影响。因此对于企业而言，安全被认作是一种不得不做的“负担”。因此需要一种组织保障机制，从公司层面强调“注重安全”的战略规划，确保公司的安全战略、规范、工具能够真正落实到产品检测中；

流程建设：通过对当前产品、供应商、安全隐患进行统一梳理，确定已存在的安全隐患并确定整改方法，规划未来相应的技术规范和管理手段，并落实到后续的采购、开发、运维等流程中去；

场景识别：主要分为自主研发和外包采购这两个场景；

能力固化：企业需要针对不同的场景、根据已有的研发能力或采购的工具，将其固化到企业本身内流程当中，结合企业的安全研发流程来实现流水线发布、Devops 发布等操作。

在确定好方向后，就可以对源头、重点场景进行摸底排查，随后通过在 SDL 流程中以设置门禁、制定规则、开发平台等方式来满足解决历史问题、严控当下安全规范的流程需要，实现存量开源漏洞梳理与整治日程化，打造流程化、智能化的软件供应链安全治理长效机制以及开源漏洞预警及应急动态化监测平台，防患未来。

首先，针对重点场景进行摸底排查

从源头摸清楚供需、安全和管理现状，输出软件供应链安全隐患整改方案，建立企业软件供应链资产台账，以“最小元素清单”为单位，提取供应链软件中使用的成分单元，输出每个软件的资产清单，以及对应的软件漏洞信息、软件许可协议信息等内容。

其次，设置门禁，把关质量

在软件需求分析、安全设计、编码、测试、运维全生命周期的各个阶段中设置门禁要求，明确出入准则，将工具检测、安全规范融入其中，严格把关软件供应链安全质量。

第三，制定规则

依据国家法律条例和行业标准体系，对流入到公司内部的开源组件实行严进宽用，制定软件供应链开发制度、软件管理指南、开发人员管理要求等规范制度，建立企业应用开源组件的黑白名单以及面向外部的动态监测机制，并借助平台能力实现自动化检测和智能化管理。

第四，开发平台

将软件供应链安全管理能力固化至平台，实现供应链台账管理、服务管理、合规管理等相关能力平台化、智能化，建立起模块工具化、流程系统化、平台场景化的安全可信管理能力。

杭研依托 SDL 安全研发能力，主要从需求设计、代码实现、版本发布、线上运维全生命周期这四个维度来实施研发安全保障措施。

首先，在需求阶段进行威胁分析：将这一阶段的流程实现自动化和场景化，通过功能分析自动生成数据流的威胁面、攻击面、消减措施以及安全用例。

其次，安全设计与编码测试：使用悬镜源鉴 SCA，对软件成分进行分析，检测漏洞、许可证、SBOM 能力等；在静态代码检测方面，可以将工具以插件的形式植入到每位开发者的桌面当中，也能够以集成平台化的形式来实现；动态检测方面，可以理解为静态检测的补充，不过由于软件的语言、架构都大不相同，因此 IAST、DAST 需要根据不同的产品特性来进行针对性使用。

最后，将全部流程集成在 CICD 流水线当中，当然还要有来自于安全设计规范等制度以及安全威胁分析等平台的底层支撑，确保流程能够高效运转。

通过源头治理、过程治理和线上运营治理这三阶段的安全管控，杭研目前已经构建起供应链软件全生命周期的安全治理体系。融合前文所提到的组织建设，通过在公司层面成立专家安全领导小组，分设网络安全办公室，确保安全方案能够规范落实到每个产品、研发部门、研发人员、测试人员身上，分别从源头、研发过程以及上线运营后这一套业务研发运营的全流程，最终实现具备主动防范、纵深防御、精准防护、整体防护能力的软件供应链。

围绕上文所提到的软件供应链安全治理方法论，杭研成功打造了软件成分全量树、软件成分标准化输出、软件漏洞一键化排查这三种能力，做到真正意义上的软件台帐清晰、排查高效和精准。

在组织保障、制度制定、平台建设等多方面的协同下，杭研最终构建起端到端的供应链软件治理体系，实现产品供应链软件动态安全监测，精细化看护。

关于悬镜安全

悬镜安全，起源于北京大学网络安全技术研究团队“XMIRROR”，创始人子芽。作为DevSecOps敏捷安全领导者，始终专注于以“代码疫苗”技术为内核，凭借原创专利级“全流程数字供应链安全赋能平台+敏捷安全工具链”的第三代DevSecOps智适应威胁管理体系，创新赋能金融、车联网、泛互联网、智能制造、通信及能源等行业用户，构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系，持续守护中国数字供应链安全。了解更多信息请访问悬镜安全官网：www.xmirror.cn