美国软件供应链安全行动中的科技巨头们

本文 2987字   阅读约需 8分钟

软件供应链安全行动，科技巨头成为重要角色。现在美国已形成科技巨头与政府、开源社区等机构密切合作的态势。

我国软件供应链安全同样有众多科技和网络安全企业加入，未来应从细化安全指南、进行安全技术攻关两个方面开展工作。

2021年2月，安全研究人员利用开源生态安全机制上的漏洞，通过依赖混淆的软件供应链攻击方式，成功侵入了微软、苹果、PayPal、特斯拉、优步等35家国际大型科技公司的内网。

2022年4月，以色列安全公司发现高通和联发科芯片的音频解码器存在三个漏洞（CVSS评分为9.8、7.8和5.5），来源于11年前苹果公司开发的开源无损音频编解码器Apple Lossless。利用这些漏洞进行攻击，可获取受影响移动设备媒体、音频会话的访问权限及摄像头数据流等，漏洞影响范围包括数百万安卓设备。

2022年8月17日，苹果公司披露其旗下的iPhone手机、iPad平板电脑和iMac电脑等产品存在严重安全漏洞，攻击者可用来入侵用户设备、获取管理权限，甚至完全控制设备并运行其中的应用软件，几乎其所有产品都受影响。8月19日，苹果发布了更新版本。

类似针对科技巨头公司的软件供应链攻击频繁发生。科技巨头研发的产品具有使用普遍、关注度高等特点，如苹果手机、微软操作系统、谷歌搜索引擎等，从某种意义上讲，这些产品已成为信息“基础设施”；此外，科技巨头公司也是开源软件的重要贡献者。这些都使得他们特别受攻击者“青睐”，成为软件供应链安全攻击的主要受害群体之一。

鉴于以上状况，在近年来美国政府主导的各类加强软件供应链安全的行动中，科技巨头热情高涨、从不缺席，已经形成了与美国政府、开源社区等机构密切合作的态势。

下表是近一年来美国政府举办的主要软件供应链安全会议，科技巨头参与情况。

在政府机构制定相关政策和标准时，科技公司是最积极的建议提供者。例如，针对EO 14028 4(b)的研讨会之前征集的150多份意见书，几乎都是由科技和网络安全公司提供的。

其中，谷歌建议“安全开发实践结合平台、语言和框架的标准，以确保基于这些标准构建的所有应用程序的安全属性”、“将持续模糊测试集成到软件开发过程中，以有效防止引入漏洞，并通过自动化工具定期检查软件项目依赖项，确保其遵循良好安全实践，且没有已知漏洞”、“基于SLSA框架解决软件供应链完整性威胁，对SBOM进行部署和补充”。

微软建议“考虑采用与安全软件开发和供应链相关的ISO/IEC标准”、“关键软件安全措施指南应包括关键软件供应商的治理、漏洞管理计划、适当的配置，以及提高关键系统和资产可恢复性的技术及流程”、“从自动化和手工测试、需求范围、符合性验证、源代码检验的频率等方面考虑测试的最低要求”、“使用端到端的模型SCIM解决软件供应链完整性问题，并给出了SCIM的工作流程和应用示例”。

除此之外，在每次研讨会或峰会上，科技公司的代表积极出谋划策，既有技术层面的，也有战略层面的，例如，在网络安全峰会上，微软、谷歌、IBM、Travelers、Coalition等承诺将参与拜登宣布的由NIST开发改进的技术供应链安全性和完整性新框架；开源软件安全峰会Ⅰ期间，谷歌提交了确定关键开源项目，建立安全、维护和测试的基线，成立新组织以增强公共和私营部门支持等方面的提案；开源软件安全峰会Ⅱ上发布的《开源软件安全动员计划》，是Linux基金会和OpenSSF基于多家科技公司的意见完成的。

在开源软件安全峰会Ⅰ后的白宫新闻发布会上，OpenSSF总经理Brian Behlendorf曾表示：“我们来这里并非是从政府筹集资金的，我们未曾想直接从政府为任何人获得资金。”在公布的消息中，科技巨头确实承担了软件供应链安全防护一部分“金主”的角色。

网络安全峰会上，谷歌宣布将在未来五年内投入100亿美元，助力保护软件供应链，加强开源软件安全；微软宣布将在未来五年内投入200亿美元，从设计上加速集成网络安全并交付高级别安全解决方案，此外还将投入1.5亿美元的技术服务，用于美联邦、州、地方政府升级安全防护措施及网络安全培训合作。

而《开源软件安全动员计划》中更是明确了改善10大问题需投入的经费，并细化到每年。在拟投入的1.5亿美元经费中，亚马逊、爱立信、谷歌、英特尔、微软和VMWare 承诺提供3000万美元，亚马逊网络服务(AWS)承诺再追加1000万美元。

具体经费投入预算如下表所示：

科技公司还是软件供应链安全技术、方法和解决方案的主要贡献者，他们也在积极开展相关措施的落地。

在网络安全峰会上，苹果宣布将推动技术供应链的持续安全改进，包括与供应商(美国国内为9000余家)一起推动多因子认证、漏洞修复、事件日志记录和事件响应的大规模应用等；亚马逊宣布在不收取额外费用的情况下，将多因子认证设备提供给所有AWS用户，以防御钓鱼攻击、密码窃取在内的多种网络安全威胁。

《开源软件安全动员计划》方向2和方向7中风险评估指标和组件关键性评估的数据来源，很大程度上基于OpenSSF已有的“记分卡(Scorecards)”和“开源项目关键性评分(Criticality Score)”项目，它们能够分别对开源项目的安全状况、依赖引入的风险、影响度及重要性等特性进行分析和评估，并且还提供了自动化工具。两个项目的发布者包括谷歌、Github、OpenSSF等。

计划方向3的数字签名，拟基于SigStore，一款工件签名、验证的自动化工具来实施。Sigstore代码签名项目于2021年3月推出，是Linux基金会为了便于确认软件的来源和构建方式，实现完整性保护，联合谷歌、Red Hat和普渡大学发起的，一年多来，Sigstore已集成进多个社区。

计划方向7的方案中提到，拟委托知名的第三方安全科技公司对关键开源项目进行代码安全审查，并发布审计结果报告。

在2021年8月25日的网络安全峰会上，美总统拜登宣布了将由NIST开发改进的技术供应链安全性和完整性新框架，NIST随即启动了“改善供应链网络安全的国家倡议(NIICS)”，这是一项广泛的公私合作伙伴机制，旨在为技术的开发者、提供者和需求者提供解决供应链中网络安全风险的工具和指导。

目前NIICS仍处于初期的形成阶段，但NIST已成立了“软件和供应链保障(SSCA)”、“联邦网络供应链风险管理(C-SCRM)”等论坛和“国家网络安全卓越中心(NCCoE)”等兴趣社区来服务于这一倡议。

近年来，我国在软件供应链安全方面也成立了相应的社区、论坛等组织，有众多高科技和网络安全企业的加入，但目前大都处于战略研究和标准制定阶段。

建议这些组织可依托相关科技公司的力量，从两个方面开展未来的工作：

在指南和最佳实践的框架下，梳理出需要重点突破和攻关的技术难点和痛点，如SBOM的自动化构造、基于依赖关系的漏洞分析等，组织有实力的科技企业集中联合攻关，为软件供需方提供工具和解决方案。

题图：Pixabay License

转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~