默安科技副总裁沈锡镛：数字防线 原生构建|2022首届全球数字贸易博览会

12月11日-14日，2022首届全球数字贸易博览会于杭州国际博览中心成功举办。本次全球数字贸易博览会是目前国内唯一经党中央、国务院批准的以数字贸易为主题的国家级、全球性的专业博览会，聚焦“数字贸易商通全球”主题，以“数字化的贸易对象”和“数字化的贸易方式”为主线，打造数字贸易产业发展风向标。

默安科技作为面向云计算时代的新兴网络安全公司，自2016年成立以来扎根网络安全行业，为全球数字贸易产业的创新与高质量发展保驾护航。在之江数字贸易论坛暨2022首届全球数字生态大会数字应用与技术分论坛中，默安科技董事、副总裁沈锡镛就《数字防线原生构建》发表主题演讲。

沈总的演讲从数字化面临的安全挑战、软件供应链构成环节、保护依据与保护环节、软件供应链安全核心关注和保护框架等方面展开。

数字化面临的安全挑战

首先，沈总指出数字化业务所面临的风险：一是数据安全，二是业务中断。关于数据安全，他举了一个例子，某一直辖市日活百万级的应用，开发商真正自己写的代码只占到5%。随着当下数字化业务的转型和多场景应用的开发，软件开发商大量地引用开源组件和功能并封装在一起，而自己真正写的代码却非常少。在这种情况下，开源组件的漏洞一旦被黑客利用，则会直接导致数据泄露的问题。关于业务中断，他举了不久前俄罗斯和乌克兰战争的例子，在这个事件中存在一个典型的软件供应链攻击，即美国不允许俄罗斯的开发者下载 GitHub上的公共库，进而导致了俄罗斯许多业务应用的中断。

在软件供应链攻击中，第一类风险具有很强的隐秘性，在不知不觉中自己的业务应用就遭到了攻击，而且软件供应商也无法清楚定位问题和漏洞。第二类风险则属于“隔山打牛”，它并没有直接攻击数字化业务，而是通过利用开源组件的漏洞间接造成业务的中断。

软件供应链的构成环节

那么，当下的软件供应链和传统的供应链相比有何区别？沈总指出，传统的供应链是指商品达到消费者手中之前各种链接或业务的衔接（商品、消费者、渠道），从原始采购开始，制成中间产品以及最终产品，通过销售网络到达最终用户进行使用的整体网链结构。而软件供应链是指软件从软件供应商到达用户手中并被使用的整个过程相关的环节及开展的活动（软件生产、运营者、渠道、监管方），从软件开发、编码、软件生成、软件分发（用户下载）到用户使用的整个生命周期。

在软件供应链的构成环节中，开发安全往往被忽视。沈总从一个软件供应商的视角剖析了软件开发中的安全问题。如果某一软件供应商接到了某个数字化业务的需求，一般会思考三个问题：一是业务需要的功能网上是不是可以直接抄，二是能不能在现有代码的基础上直接改，三是出于成本考虑，业务是不是可以选择外包。而这种做法实际会带来很多安全隐患，软件供应商无法清楚知道外包或者层层转包以及所引用的组件、框架是否安全。传统的保障软件交付安全的做法是在软件上线之前进行安全测试或者代码审计。安全测试这种做法不一定保证可靠性，而代码审计不仅成本高，也会出现很多误报。在软件安全验收现状中，往往“重”漏洞安全验收，而“轻” 软件安全需求。

软件供应链安全保护依据

软件供应链安全近几年得到广泛关注，一方面是由于数字化转型趋势下，软件架构复杂性增加，外部引入成分占比增加，供应链中断风险增加。另一方面是软件供应链攻击的投入产出比较高，软件开发商的网络安全防护和开发安全能力普遍较弱，组件漏洞和供应链投毒事件频发，成为了纵深防护层层壁垒中的一道裂缝。相较于等保2.0，《信息安全技术关键信息基础设施安全保护要求》对关基提出了更高的软件供应链安全保护要求：一是在供应商选择时，应注意防范非技术因素导致产品和服务供应中断风险；二是验收时应对软件进行源代码层面的安全检测；三是关基单位应要求产品和服务提供者对设计、研发、生产、交付等关键环节加强安全管理。

软件供应链安全保护环节

软件供应链安全保护涉及供应链引入、软件生产和软件应用三个主要环节。在供应链引入环节，会存在基础服务风险、软件代码风险、开源组件风险和三方服务未知风险，面临的供应链核心安全问题是供应链准入和供应链透明；在软件生产环节，会存在开源组件风险、自研代码安全质量风险和三方服务未知风险，面临的供应链核心安全问题是供应链投毒、软件生产安全；在软件应用环节，会存在软件部署风险、运行期间风险，面临的供应链核心安全问题是供应链安全事件响应。

软件供应链安全的核心关注与保护框架

软件供应链安全的核心关注包含软件安全要求规范与传递，软件资产（组件、三方云服务、基础依赖服务）底账不清，开源软件准入管控，开源软件漏洞和协议风险不可控，防范软件供应链投毒，源代码泄露问题，多种开发模式下的应用漏洞、后门检测，0day组件漏洞的应急响应等。

软件供应链安全保护框架包括软件供应链入口安全管控和软件供应链自身安全管控。软件供应链入口安全管控涉及到的管控要素包含软件来源、软件安全合规、软件资产管理、服务支持和安全应急响应；软件供应链自身安全管控贯穿开发生命周期安全，涉及到需求分析、架构设计、软件开发、软件测试和系统上线五个阶段。

默安科技强调技术前沿性和业务前瞻性，是国内首批开辟开发安全业务的厂商，在软件供应链安全方面有很深的积累，从一开始的开发安全体系咨询，到建设完整的开发安全工具链，积累了大批的项目建设经验，再到参加国家行业相关标准的制定和试点推广，将开发安全建设延展到供应链安全治理，研发软件供应链风险评估平台，并且依托阶段性的标准化建设成果，在关基单位进行落地实践，拉动产业和监管逐步勾勒出软件供应链安全管理的体系架构和实现路径。

最后，沈总结合案例实践分享了默安在软件供应链安全的治理方案。在某政府机构案例中，针对该行业大量引入外部软件供应商的特点，默安提供了软件供应链安全的检测方案，包括评估标准的制定和技术服务的落地。在某数字化转型单位案例中，针对该单位既有外部软件引入，又有内部研发的特点，默安从软件供应链安全管理和软件开发安全两个方面入手，对软件供应链风险进行一站式摸排。在某大型集团案例中，针对该客户业务部署层级多的特点，默安建立了一、二级供应链资产管理机制，形成集团全量业务统一供应链安全风险图谱，并通过自动化完成漏洞影响面分析及漏洞可利用验证，将紧急漏洞应急响应时间从1周缩短至1天。

作为国内率先推出完整开发安全工具链、平台与服务的创新型安全厂商，默安科技在软件供应链安全方面具有十分深厚的技术积累与项目建设经验。未来，默安科技将继续深耕优势领域，为全球数字贸易产业的创新与高质量发展贡献更多安全力量。