DSS2023丨悬镜安全：软件供应链正向数字供应链跃迁式演进

近日，2023数字供应链安全大会（DSS 2023）在国家会议中心成功举办，大会以“开源的力量”为主题，致力于打造以“数字供应链安全”技术论道、产业变革、创新发展为核心交付价值，立足世界、规模宏大、影响力深远的超千人安全盛会。会上，悬镜安全创始人兼CEO、DSS大会执行主席子芽分享题为“开源的力量”主旨演讲，讲述了数字供应链的新变化，定义数字供应链安全的新内涵，同时重点发布并解读中国首个数字供应链SBOM格式（DSDX），并围绕演讲主题对悬镜安全最新开源安全技术应用发展进行了精彩分享。

悬镜安全创始人子芽表示，数字时代，万物可编程，数字技术是新一代信息技术的灵魂。“数字应用正成为社会运转的基本组件”、“现代应用都是组装的而非纯自研”是数字应用的两个安全共识，子芽指出，进入数智时代，数字技术成为新一代信息技术的灵魂，云服务、IT托管服务等颠覆了传统产品供应关系，正成为数字经济发展的基础设施。同时，有数据表明当前平均每个数字应用的开源成分都接近78%-90%，混源开发成为主要模式，开源风险治理的迫切性愈发重要。

随着数字时代的到来，我们熟知的软件供应链正向数字供应链跃迁式演进，溯其根源，主要在以下四个方面发生着深刻地变化：

● 一、在数字应用编程开发方式上，正从闭源开发向内源开发和混源开发演进；

● 二、在应用协作发布方式上，正从瀑布式开发向敏捷开发和DevOps研运一体化演进；

● 三、在应用架构设计上，正从单体应用向微服务和Serverless架构演进；

● 四、在基础设施运行环境上，正从物理机向虚拟化和容器化演进。

* 数字供应链有了新的内涵

子芽在演讲中定义了什么是数字供应链，其意在梳理数字时代之下供应链的全新关系，以及进一步明确网络安全发展演进，即从软件产品或服务到数字应用，数字供应链定义扩大了原有软件供应链的内涵，其将数字应用、基础设施服务、供应链数据统一规划到数字供应链组成当中，这也是业内首次明确数字供应链的组成。基于此，数字应用安全、基础设施服务安全、供应链数据安全即成为数字供应链安全的重点内容。

* 数字供应链安全的重点内容

随后，子芽进一步指出了数字供应链安全的三大关键特性，分别是“共生自进化、内生自免疫、敏捷自适应”，共生自进化对应为业务发展与安全建设共生，延伸为开源、内源和混源共生发展，研发、安全和运营角色在决策上共担安全风险；内生自免疫对应为防御前置，用安全左移的方法实现源头风险治理，并以威胁模拟实现持续安全度量；敏捷自适应对应为敏捷适应业务增长和迭代，使安全和业务融合又解耦，并适应基础设施环境变化，随时灵敏响应内外部威胁和风险。

* 数字供应链安全的三大关键特性

站在数字供应链安全全流程治理与运营的视角，子芽将整个数字供应链安全划分为“供应链引入、生产链、供应链交付运营”三大环节。对应由ASOC、SBOM、TMA、SAST、SCA、IAST、DRA、RASP、PTE等技术手段予以支撑。子芽强调称，在整个过程中敏捷安全将是未来的主要趋势，其中SBOM也是数字供应链安全的关键部分。

* DSDX (DigitalSupply-chain Data Exchange)

子芽指出，SBOM即软件物料清单是建立数字供应链的安全基线，将在辅助安全设计评审，交叉安全测试和动态发布等环节发挥重要作用。大会上子芽发布了中国首个数字供应链SBOM格式——DSDX（Digital Supply-chain Data Exchange ）。DSDX由OpenSCA社区主导发起，汇聚权威研究机构、甲方客户、安全厂商力量共同适配中国企业实战化应用场景。

* DSDX解读

据介绍，中国首个数字供应链安全格式（DSDX）将以企业级实战化应用实践，其目标是成为数字供应链安全治理与运营的核心技术抓手，以助力行业从软件供应链安全过渡到数字供应链安全时代。国内首个自有SBOM格式－DSDX v1.0的核心特点包括全场景覆盖、强大的兼容性、供应链数据溯源和强大的自身安全性。

* 国内首个自有SBOM格式－DSDX v1.0

● 全场景覆盖：涵盖源码、二进制、镜像等不同阶段的物料清单，对组件、漏洞、许可证风险全面覆盖；

● 强大兼容性：兼容SPDX、CycloneDX、SWID国际标准和国内标准，但不止于主流规范，在最小元素集基础上扩展其他元素；

● 供应链数据溯源：涵盖数字供应链流转信息、可追溯文件、组件，依赖的过程变化及其来源，保证SBOM的修改全程可追溯；

● 强自身安全性：物料清单本身满足机密性要求和完整性要求，具备真实性校验、防篡改等保护机制。

为什么要做开源？开源的本质是群智创新和共生进化。子芽在演讲环节再次强调了开源的重要性，并且着重指出面对着不确定性的未来，开源的群智创新模式将是数字供应链发展的力量源泉。

* 关于OpenSCA

子芽分享道，SCA（软件成分分析）作为数字供应链安全管理入口，管控数字供应链在引入、生产、分发、交付环节全流程数字资产的安全风险；同时结合供应链安全情报，进行数字供应链组件资产的持续性风险评估和紧急漏洞事件的快速响应；再根据清单进行物料成分一致性确认和开源风险治理，帮助建立DevSecOps敏捷安全体系和SDL安全开发体系；同时输出透明化的数字应用组件资产及风险清单，针对性建立安全可信的SBOM库。

源码SCA、二进制SCA、运行时SCA被视为SCA的三大关键技术能力，演讲中子芽强调了悬镜安全的OpenSCA技术正是具备以上三大关键能力，才能更好地为数字供应链提供安全保障。

SCA技术作为数字供应链开源治理的关键入口，有着全新的内涵：

● 一、源码级SCA特别是代码片段级同源检测技术在代码自研率分析、全球开源风险溯源等场景有越来越多的应用；

● 二、二进制SCA凭借直接分析制品成分及风险，正成为供应链安全审查的关键技术；

● 三、运行时SCA凭借精准识别数字应用运行加载时真正使用到的第三方组件及依赖，在应用测试和常态化安全运营场景有着更广泛的应用；

● 四、以DSDX为代表的SBOM作为数字供应链安全治理的重要抓手，将在整个供应链引入、生产、交付等关键环节的开源治理实践中发挥着重要作用；

● 五、供应链安全情报特别是开源治理情报和供应链投毒情报的应用将极大程度提升开源治理的先发性和实效性；许可证合规治理在业务出海和国内监管合规治理上开始受到行业越来越高的重视。

在随后的演讲中，子芽全面分享了OpenSCA社区历年的发展和成长，包括社区的重要动作、开源项目的技术沉淀和获得的一系列荣誉等。同时他还分享了OpenSCA的技术生态，包括可分别独立使用的OpenSCA-cli、OpenSCA SaaS、源鉴SCA企业版以及共享的关键技术引擎，也进一步地介绍了丰富的插件生态，以及新近开放的多数据源比对能力和多格式漏洞库支持能力等关键特性。据子芽表述，OpenSCA已具有鲜明的自身特色和能力，在行业内处于领跑地位。

回到演讲主题，子芽又介绍了基于OpenSCA开源社区和开源项目目前正在进行的工作，其中代码疫苗补丁防御、开源威胁情报、全链路SBOM追踪以及持续的社区生态共建是四个主要方向，进而用开源的力量，从源头护航数字供应链安全。

OpenSCA技术生态

2023数字供应链安全大会（DSS 2023）由悬镜安全主办，ISC互联网安全大会组委会、中国软件评测中心（工业和信息化部软件与集成电路促进中心）、中国信息通信研究院云计算与大数据研究所、CCF计算机安全专业委员会、北京信息化协会信息技术应用创新工作委员会、OpenChain联合发起，OpenSCA开源社区、XRASP代码疫苗社区协办。

通过本次大会的成功举办，悬镜安全旨在指出传统的软件供应链安全已演进成为数字供应链安全，并成为企业数字化转型过程中重点关注的新焦点。此次各领域顶尖智慧的碰撞，将加快落地数字供应链安全治理工作，提升数字供应链安全风险的发现能力、分析能力、处置能力、防护能力以及数字供应链安全管理水平，为供应链上下游企业提供安全新方案与整体建设思路。

* OpenSCA能力栈