作者簡(jiǎn)介

中國(guó)工商銀行軟件開(kāi)發(fā)中心安全團(tuán)隊(duì)

一、敏態(tài)研發(fā)下的軟件供應(yīng)鏈安全挑戰(zhàn)

現(xiàn)代軟件研發(fā)更加側(cè)重軟件交付的速度和可靠性，傳統(tǒng)的瀑布式軟件研發(fā)模式存在維護(hù)難、擴(kuò)展性差和無(wú)法滿(mǎn)足快速迭代的版本要求等問(wèn)題，敏態(tài)研發(fā)模式則利用迭代研發(fā)，致力于高效研發(fā)出可用的軟件，在不斷的迭代優(yōu)化中升級(jí)和完善軟件，最終交付客戶(hù)滿(mǎn)意的產(chǎn)品。

軟件產(chǎn)品和服務(wù)關(guān)系生產(chǎn)和生活的各個(gè)方面，軟件供應(yīng)鏈安全直接影響經(jīng)濟(jì)和社會(huì)的穩(wěn)定運(yùn)行，根據(jù) ReversingLabs 發(fā)布的《The State of Software Supply Chain Securtiy》，2020-2022年供應(yīng)鏈攻擊呈指數(shù)及增長(zhǎng)，惡意篡改、后門(mén)植入、和供應(yīng)鏈劫持等軟件供應(yīng)鏈攻擊頻發(fā)，供應(yīng)鏈安全風(fēng)險(xiǎn)加劇。

敏態(tài)研發(fā)模式下軟件供應(yīng)鏈面臨新的安全挑戰(zhàn)：

軟件供應(yīng)鏈資產(chǎn)依賴(lài)關(guān)系復(fù)雜、透明度低。在快速且頻繁的軟件版本更新的情況下，應(yīng)用程序重用代碼、軟件包和第三方供應(yīng)商銷(xiāo)售的商業(yè)代碼包的情況越來(lái)越普遍，并且開(kāi)源組件占軟件成分的絕大部分。

組件漏洞、組件后門(mén)和惡意篡改等供應(yīng)鏈風(fēng)險(xiǎn)突出。軟件產(chǎn)品從上游繼承的軟件漏洞及開(kāi)源組件漏洞無(wú)法避免，同時(shí)，攻擊者通過(guò)污染開(kāi)發(fā)工具、劫持軟件交付鏈路等方式控制上游軟件供應(yīng)鏈，在組件中植入惡意可執(zhí)行代碼快速傳播至中下游用戶(hù)。

外部法律法規(guī)和監(jiān)管要求不斷趨嚴(yán)?！毒W(wǎng)絡(luò)安全法》、《關(guān)于規(guī)范金融業(yè)開(kāi)源技術(shù)應(yīng)用與發(fā)展的意見(jiàn)》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）、《軟件供應(yīng)鏈安全要求（征求意見(jiàn)稿）》等法律法規(guī)和標(biāo)準(zhǔn)對(duì)企業(yè)供應(yīng)鏈安全管控提出了更高的要求。

軟件供應(yīng)鏈資產(chǎn)依賴(lài)關(guān)系復(fù)雜、透明度低。在快速且頻繁的軟件版本更新的情況下，應(yīng)用程序重用代碼、軟件包和第三方供應(yīng)商銷(xiāo)售的商業(yè)代碼包的情況越來(lái)越普遍，并且開(kāi)源組件占軟件成分的絕大部分。

展開(kāi)全文

組件漏洞、組件后門(mén)和惡意篡改等供應(yīng)鏈風(fēng)險(xiǎn)突出。軟件產(chǎn)品從上游繼承的軟件漏洞及開(kāi)源組件漏洞無(wú)法避免，同時(shí)，攻擊者通過(guò)污染開(kāi)發(fā)工具、劫持軟件交付鏈路等方式控制上游軟件供應(yīng)鏈，在組件中植入惡意可執(zhí)行代碼快速傳播至中下游用戶(hù)。

外部法律法規(guī)和監(jiān)管要求不斷趨嚴(yán)?！毒W(wǎng)絡(luò)安全法》、《關(guān)于規(guī)范金融業(yè)開(kāi)源技術(shù)應(yīng)用與發(fā)展的意見(jiàn)》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）、《軟件供應(yīng)鏈安全要求（征求意見(jiàn)稿）》等法律法規(guī)和標(biāo)準(zhǔn)對(duì)企業(yè)供應(yīng)鏈安全管控提出了更高的要求。

在軟件供應(yīng)鏈安全管理上，企業(yè)應(yīng)依據(jù)國(guó)家、行業(yè)等各類(lèi)安全合規(guī)性要求，結(jié)合企業(yè)內(nèi)部管理特點(diǎn)，建立企業(yè)內(nèi)部標(biāo)準(zhǔn)要求，結(jié)合實(shí)際場(chǎng)景構(gòu)建企業(yè)軟件供應(yīng)鏈安全治理體系，從統(tǒng)一制度、統(tǒng)一規(guī)劃、統(tǒng)一工具和統(tǒng)一機(jī)制等方面持續(xù)提升軟件供應(yīng)鏈安全管理能力。

1、完善軟件供應(yīng)鏈安全制度

制定軟件供應(yīng)鏈安全管理制度，明確供應(yīng)鏈安全管理的牽頭部門(mén)和各方職責(zé)，與企業(yè)內(nèi)部現(xiàn)有安全管理流程相整合，確保風(fēng)險(xiǎn)可控制、威脅可處置、治理可衡量。

從軟件引入、使用和退出的全流程制定相應(yīng)的要求，并健全供應(yīng)鏈軟件管理、外包管理、采購(gòu)管理和研發(fā)管理等標(biāo)準(zhǔn)規(guī)范，從管理和實(shí)施層面細(xì)化和完善企業(yè)內(nèi)部要求，為有序開(kāi)展供應(yīng)鏈安全管理提供指導(dǎo)。

2、建立資產(chǎn)動(dòng)態(tài)管理視圖

構(gòu)建供應(yīng)鏈軟件管理工具鏈，實(shí)現(xiàn)供應(yīng)鏈產(chǎn)品的自動(dòng)化管理。建設(shè)企業(yè)級(jí)軟件產(chǎn)品管理系統(tǒng)，將軟件成分分析工具對(duì)接研發(fā)流水線(xiàn)實(shí)現(xiàn)開(kāi)源組件自動(dòng)引入與使用登記，通過(guò)軟件黑白名單機(jī)制限制使用未經(jīng)企業(yè)許可的軟件和高風(fēng)險(xiǎn)漏洞版本的軟件。

同時(shí)，借助軟件成分分析工具生成 SPDX、CycloneDX 等標(biāo)準(zhǔn)化格式的軟件物料清單，提供組成應(yīng)用的組件的清晰視圖，關(guān)注組件的漏洞情況和風(fēng)險(xiǎn)程度，快速準(zhǔn)確追蹤漏洞軟件的使用位置和其他依賴(lài)項(xiàng)，幫助企業(yè)進(jìn)行資產(chǎn)管理、漏洞管理和應(yīng)急響應(yīng)，降低企業(yè)軟件供應(yīng)鏈安全風(fēng)險(xiǎn)。

3、開(kāi)展軟件全生命周期風(fēng)險(xiǎn)識(shí)別

通過(guò)合同約束、安全審核、監(jiān)控處置、風(fēng)險(xiǎn)治理等安全管理手段，實(shí)現(xiàn)對(duì)供應(yīng)鏈產(chǎn)品全生命周期的風(fēng)險(xiǎn)控制。

在合同約束方面，通過(guò)與供應(yīng)商簽訂安全協(xié)議、合同等，要求供應(yīng)商提供產(chǎn)品的物料清單和安全測(cè)評(píng)報(bào)告，明確供應(yīng)鏈產(chǎn)品的安全性要求和供應(yīng)商安全責(zé)任。

在安全審核方面，制定安全測(cè)評(píng)方案和審核指引，通過(guò)代碼安全檢測(cè)、已知漏洞檢測(cè)、防病毒查殺等手段開(kāi)展供應(yīng)鏈產(chǎn)品引入前的安全審核、日常風(fēng)險(xiǎn)評(píng)估和治理工作，確保引入源頭安全可靠。

在持續(xù)監(jiān)測(cè)方面，根據(jù)威脅情報(bào)共享機(jī)制，主動(dòng)監(jiān)測(cè)外界披露的軟件供應(yīng)鏈后門(mén)和惡意鏡像倉(cāng)庫(kù)情報(bào)，做好威脅情報(bào)預(yù)警。

在風(fēng)險(xiǎn)治理方面，根據(jù)威脅情報(bào)，制定基礎(chǔ)平臺(tái)和互聯(lián)網(wǎng)應(yīng)用優(yōu)先治理的差異化策略，分批次有序開(kāi)展供應(yīng)鏈漏洞風(fēng)險(xiǎn)治理，并通過(guò)日常紅藍(lán)對(duì)抗、滲透測(cè)試和安全眾測(cè)等手段，對(duì)已部署供應(yīng)鏈產(chǎn)品及升級(jí)程序、組件和代碼進(jìn)行測(cè)評(píng)。

在合同約束方面，通過(guò)與供應(yīng)商簽訂安全協(xié)議、合同等，要求供應(yīng)商提供產(chǎn)品的物料清單和安全測(cè)評(píng)報(bào)告，明確供應(yīng)鏈產(chǎn)品的安全性要求和供應(yīng)商安全責(zé)任。

在安全審核方面，制定安全測(cè)評(píng)方案和審核指引，通過(guò)代碼安全檢測(cè)、已知漏洞檢測(cè)、防病毒查殺等手段開(kāi)展供應(yīng)鏈產(chǎn)品引入前的安全審核、日常風(fēng)險(xiǎn)評(píng)估和治理工作，確保引入源頭安全可靠。

在持續(xù)監(jiān)測(cè)方面，根據(jù)威脅情報(bào)共享機(jī)制，主動(dòng)監(jiān)測(cè)外界披露的軟件供應(yīng)鏈后門(mén)和惡意鏡像倉(cāng)庫(kù)情報(bào)，做好威脅情報(bào)預(yù)警。

在風(fēng)險(xiǎn)治理方面，根據(jù)威脅情報(bào)，制定基礎(chǔ)平臺(tái)和互聯(lián)網(wǎng)應(yīng)用優(yōu)先治理的差異化策略，分批次有序開(kāi)展供應(yīng)鏈漏洞風(fēng)險(xiǎn)治理，并通過(guò)日常紅藍(lán)對(duì)抗、滲透測(cè)試和安全眾測(cè)等手段，對(duì)已部署供應(yīng)鏈產(chǎn)品及升級(jí)程序、組件和代碼進(jìn)行測(cè)評(píng)。

加強(qiáng)編碼測(cè)試環(huán)節(jié)、構(gòu)建環(huán)節(jié)和運(yùn)營(yíng)環(huán)節(jié)的管理安全評(píng)估，保障敏態(tài)研發(fā)模式各環(huán)節(jié)下，軟件供應(yīng)鏈產(chǎn)品的使用規(guī)范和組織管理。

在編碼測(cè)試階段，將交互式應(yīng)用安全測(cè)試等工具對(duì)接代碼倉(cāng)庫(kù)和鏡像倉(cāng)庫(kù)，結(jié)合人工滲透提升安全測(cè)試的覆蓋度和深度，準(zhǔn)確識(shí)別安全缺陷及漏洞，監(jiān)測(cè)應(yīng)用程序中依賴(lài)的第三方軟件的版本信息和公開(kāi)漏洞。

在構(gòu)建交付階段，將源代碼安全掃描工具等對(duì)接研發(fā)構(gòu)建流水線(xiàn)，掃描研發(fā)過(guò)程中使用的軟件類(lèi)型和組件版本，生成構(gòu)建包和容器鏡像中應(yīng)用所依賴(lài)的第三方組件風(fēng)險(xiǎn)，暴露軟件制品內(nèi)潛在的安全漏洞。

在運(yùn)營(yíng)階段，結(jié)合主機(jī)安全掃描等能力實(shí)現(xiàn)漏洞與異常行為的及時(shí)監(jiān)測(cè)和快速處置，通過(guò)運(yùn)行時(shí)應(yīng)用自我保護(hù)技術(shù)將防護(hù)能力與應(yīng)用程序融為一體，精準(zhǔn)識(shí)別應(yīng)用實(shí)際運(yùn)行中動(dòng)態(tài)加載的第三方組件及依賴(lài)，挖掘組件中潛藏的各類(lèi)安全漏洞及開(kāi)源協(xié)議風(fēng)險(xiǎn)，實(shí)時(shí)檢測(cè)和阻斷供應(yīng)鏈攻擊。

在編碼測(cè)試階段，將交互式應(yīng)用安全測(cè)試等工具對(duì)接代碼倉(cāng)庫(kù)和鏡像倉(cāng)庫(kù)，結(jié)合人工滲透提升安全測(cè)試的覆蓋度和深度，準(zhǔn)確識(shí)別安全缺陷及漏洞，監(jiān)測(cè)應(yīng)用程序中依賴(lài)的第三方軟件的版本信息和公開(kāi)漏洞。

在構(gòu)建交付階段，將源代碼安全掃描工具等對(duì)接研發(fā)構(gòu)建流水線(xiàn)，掃描研發(fā)過(guò)程中使用的軟件類(lèi)型和組件版本，生成構(gòu)建包和容器鏡像中應(yīng)用所依賴(lài)的第三方組件風(fēng)險(xiǎn)，暴露軟件制品內(nèi)潛在的安全漏洞。

在運(yùn)營(yíng)階段，結(jié)合主機(jī)安全掃描等能力實(shí)現(xiàn)漏洞與異常行為的及時(shí)監(jiān)測(cè)和快速處置，通過(guò)運(yùn)行時(shí)應(yīng)用自我保護(hù)技術(shù)將防護(hù)能力與應(yīng)用程序融為一體，精準(zhǔn)識(shí)別應(yīng)用實(shí)際運(yùn)行中動(dòng)態(tài)加載的第三方組件及依賴(lài)，挖掘組件中潛藏的各類(lèi)安全漏洞及開(kāi)源協(xié)議風(fēng)險(xiǎn)，實(shí)時(shí)檢測(cè)和阻斷供應(yīng)鏈攻擊。

在當(dāng)前快速交付、靈活部署的敏態(tài)研發(fā)模式下，為應(yīng)對(duì)混源開(kāi)發(fā)、代碼復(fù)用和版本多變帶來(lái)的軟件供應(yīng)鏈安全風(fēng)險(xiǎn)，企業(yè)可通過(guò)建設(shè)內(nèi)部統(tǒng)一的制度，進(jìn)一步明確軟件的引入和使用要求；采用資產(chǎn)自動(dòng)化識(shí)別工具鏈全面梳理識(shí)別應(yīng)用包含的自研組件、開(kāi)源軟件、外購(gòu)軟件等全量軟件資產(chǎn)，形成動(dòng)態(tài)更新的資產(chǎn)管理機(jī)制； 利用威脅情報(bào)和紅藍(lán)測(cè)試主動(dòng)發(fā)現(xiàn)供應(yīng)鏈漏洞，優(yōu)先處置高危漏洞及對(duì)外暴露應(yīng)用系統(tǒng)，加強(qiáng)軟件供應(yīng)鏈安全風(fēng)險(xiǎn)處置能力；結(jié)合 DevSecOps 全流程，將軟件供應(yīng)鏈安全和敏態(tài)研發(fā)過(guò)程相結(jié)合，在研發(fā)運(yùn)營(yíng)的各個(gè)環(huán)節(jié)識(shí)別供應(yīng)鏈安全風(fēng)險(xiǎn)等方式開(kāi)展供應(yīng)鏈風(fēng)險(xiǎn)管控，在快速迭代的軟件版本中最大程度降低企業(yè)內(nèi)部供應(yīng)鏈安全風(fēng)險(xiǎn)。

1000+研發(fā)團(tuán)隊(duì)的 BizDevOps 體系及平臺(tái)是如何建設(shè)的？407GOPS2023深圳站，中國(guó)工商銀行軟件開(kāi)發(fā)中心 DevOps 團(tuán)隊(duì)負(fù)責(zé)人帶你親自了解~

掃碼更精彩

頻獲表彰！中國(guó)工商銀行“數(shù)字員工”在運(yùn)維領(lǐng)域中的實(shí)踐，出圈啦！

中國(guó)工商銀行建設(shè)代碼掃描中心，助力研發(fā)效能提升

擁抱變化 · 積極踐行！中國(guó)工商銀行 DevOps 轉(zhuǎn)型探索與實(shí)踐

“高效運(yùn)維”公眾號(hào)誠(chéng)邀廣大技術(shù)人員投稿

投稿郵箱：jiachen@greatops.net，或添加聯(lián)系人微信：greatops1118。