《電子技術(shù)應用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 默安科技沈錫鏞:多管齊下治理軟件供應鏈安全 構(gòu)建數(shù)字防線

默安科技沈錫鏞:多管齊下治理軟件供應鏈安全 構(gòu)建數(shù)字防線

2022-12-18
來源:安全419
關(guān)鍵詞: 默安科技 軟件供應鏈

  11月11-14日,,由浙江省人民政府,、中華人民共和國商務(wù)部主辦的首屆全球數(shù)字貿(mào)易博覽會(簡稱“數(shù)貿(mào)會”)在杭州國際博覽中心舉行,。本屆數(shù)貿(mào)會聚焦“數(shù)字貿(mào)易 商通全球”主題,以“數(shù)字化的貿(mào)易對象”和“數(shù)字化的貿(mào)易方式”為主線,,設(shè)主論壇及數(shù)十場分論壇,,打造數(shù)字貿(mào)易產(chǎn)業(yè)發(fā)展風向標。

  眾所周知,,杭州是業(yè)內(nèi)多家網(wǎng)絡(luò)安全企業(yè)的大本營,,安全419注意到,作為浙江省本土知名的新興網(wǎng)絡(luò)安全公司,,默安科技深度參與了本屆數(shù)貿(mào)會,,向來自全球的數(shù)字化企業(yè)展示中國網(wǎng)絡(luò)安全技術(shù)能力和安全力量。12月13日,在同期舉辦的2022首屆全球數(shù)字生態(tài)大會-數(shù)字應用與技術(shù)分論壇上,,默安科技副總裁沈錫鏞以《數(shù)字防線 原生構(gòu)建》為題,,分享了默安科技在軟件供應鏈安全方面的實踐和建設(shè)經(jīng)驗。

  軟件開發(fā)環(huán)境變化催生了新的安全挑戰(zhàn)

  沈錫鏞首先談到,,當前企業(yè)在做數(shù)字化轉(zhuǎn)型和數(shù)字化業(yè)務(wù)的過程當中,,通常會面臨兩類原生的安全風險:其一是數(shù)據(jù)安全風險,數(shù)據(jù)泄露或數(shù)據(jù)濫用,;其二是因安全問題導致的業(yè)務(wù)中斷,。這兩類問題都與軟件供應鏈息息相關(guān)。

  ● 首先,,數(shù)字化時代下軟件構(gòu)成的形態(tài)相較過去已經(jīng)有了很大的差異性,。默安科技此前在對某一直轄市百萬級日活的政務(wù)應用進行技術(shù)排查時發(fā)現(xiàn),真正由軟件開發(fā)供應商自己寫的代碼僅占5%,,“他們是把各種各樣的開源組件和功能封裝到了一起,,軟件的核心部分都不是自己真正去寫的。所以當時我們戲稱為,,這些軟件是軟件開發(fā)商自產(chǎn)的,,而非自研的,這樣生產(chǎn)出來的軟件稱不上研究的‘研’字,?!?/p>

  在他看來,這也并非軟件開發(fā)商之罪,,隨著數(shù)字化業(yè)務(wù)轉(zhuǎn)型的加速,,海量的toC場景涌現(xiàn)出來,要求數(shù)字化應用快速上線,、快速迭代,。為了降低軟件的開發(fā)成本和周期,研發(fā)人員必須大量地采用第三方組件,,避免大量“重復造輪子”的消耗,。但這不可避免地就帶來全新的安全風險,大量的組件性漏洞,、開源性漏洞以及公共云服務(wù)不當配置被利用的風險,,其中就包括了數(shù)據(jù)安全風險。

  ● 其次,,是軟件供應鏈帶來的業(yè)務(wù)中斷風險,。“在不久前的俄烏網(wǎng)絡(luò)戰(zhàn)中就有一個典型的例子,,美國不允許俄羅斯的開發(fā)者下載 GitHub上的公共庫,,不允許俄羅斯的開發(fā)者去下載使用這些開源組件,這就導致俄羅斯許多應用停止更新,進而導致了整體安全性的下降,?!?/p>

  沈錫鏞認為,這一案例充分地說明了供應鏈攻擊的兩大特點,,首先它如同“隔山打?!币粯泳邆浜軓姷碾[蔽性,供應鏈往往是構(gòu)成一個數(shù)字化業(yè)務(wù)的基座,,因此攻擊者無須直接攻擊數(shù)字化應用,,而是通過攻擊軟件的開發(fā)方或是業(yè)務(wù)的托管方,就能夠在不知不覺中對業(yè)務(wù)應用發(fā)起攻擊,。另一特點是“打一片影響一面”,,年初發(fā)生的Solarwinds事件中就印證了這一點,對一個供應商發(fā)起的攻擊,,能夠?qū)ο掠未罅康钠髽I(yè)造成行業(yè)地震式影響。

  安全往往被軟件開發(fā)者所忽視

  軟件開發(fā)者理應得到更好的合規(guī)性監(jiān)管

  近年來,,軟件供應鏈安全逐漸在國家層面得到廣泛關(guān)注,,一方面是由于數(shù)字化轉(zhuǎn)型趨勢下,軟件架構(gòu)復雜性增加,,外部引入成分占比增加,,供應鏈中斷風險增加。另一方面是軟件供應鏈攻擊的投入產(chǎn)出比較高,,軟件開發(fā)商的網(wǎng)絡(luò)安全防護和開發(fā)安全能力普遍較弱,,組件漏洞和供應鏈投毒事件頻發(fā),成為了縱深防護層層壁壘中的一道裂縫,。

  沈錫鏞表示,,一個軟件的核心污染路徑往存在于軟件的開發(fā)環(huán)節(jié)、交付環(huán)節(jié)和使用環(huán)節(jié)三個階段,,隨著我國網(wǎng)絡(luò)安全建設(shè)的不斷加強,,在軟件使用環(huán)節(jié)的安全意識和安全管控措施相對健全,但在開發(fā)環(huán)節(jié)仍然較為薄弱,。

  假設(shè)一家軟件開發(fā)供應商或部門接到了一個數(shù)字化業(yè)務(wù)需求,,要求在短期內(nèi)快速上線一個移動應用、小程序,,那大概率優(yōu)先思考三個問題:第一,,業(yè)務(wù)需求中的功能代碼網(wǎng)上有沒有現(xiàn)成的可以直接抄?第二,,能不能在過去已有的代碼基礎(chǔ)上直接改,?第三,我能不能直接外包出去賺個差價?

  但這樣的做法實際會帶來很多安全隱患,,軟件開發(fā)單位無法知道網(wǎng)上抄來的代碼是否安全,,不知道層層外包或轉(zhuǎn)包后所引用的組件、框架是否安全,。甚至壓根不知道隱患在哪里,。面臨這些隱患,行業(yè)過去的做法通常是在軟件上線前進行安全測試,,或是代碼審計,,但安全測試這種做法不一定保證可靠性,而代碼審計不僅成本高,,也會出現(xiàn)很多誤報,。但事實上,在攻防嚴重不對等的前提下,,代碼審計幾乎很難發(fā)現(xiàn)深層的第三方組件復用和開源框架所帶來的安全風險,。

  “我們國家做了很多年的安全合規(guī),但我們始終沒有把安全合規(guī)的重點指向過,?,?海量的軟件公司和開發(fā)者,他們既沒有被等保約束過,,也沒有被攻防演練過,,?,?他們最核心的資產(chǎn)并不是官網(wǎng),,而是開發(fā)者們的代碼倉庫,生產(chǎn)代碼的工具,,生產(chǎn)代碼的人,,這些是不是經(jīng)得起考驗,是不是有明確的標準和合規(guī)要求,?,?事實上并沒有?!?/p>

  在沈錫鏞看來,,從軟件開發(fā)的角度來看,發(fā)起一次Solarwinds這樣大規(guī)模的攻擊并非難事,,只要去攻破關(guān)鍵供應商,,在一些核心第三方組件中潛藏進去一個后門指令,就能夠完成一次供應鏈投毒攻擊,,一旦攻擊成功,,便能夠影響下游海量的業(yè)務(wù)應用和企業(yè),,通過勒索攻擊等手段造成巨大的經(jīng)濟損失,這也是供應鏈攻擊最可怕的地方,。

  著眼軟件的引入,、生產(chǎn)和應用環(huán)節(jié)

  多管齊下治理軟件供應鏈安全

  沈錫鏞談到,作為國內(nèi)軟件供應鏈安全領(lǐng)域的先行者,,默安科技認為,,根據(jù)軟件供應鏈的特點,軟件供應鏈的業(yè)務(wù)流程可以抽象成供應鏈引入,、軟件生產(chǎn)和軟件應用三個環(huán)節(jié),。

  微信圖片_20221218192347.jpg

  供應鏈引入環(huán)節(jié)

  沈錫鏞認為,在供應鏈引入環(huán)節(jié)主要存在基礎(chǔ)服務(wù)風險,、軟件代碼風險,、開源組件風險和三方服務(wù)未知風險,面臨的供應鏈核心安全問題是供應鏈準入和供應鏈透明,,其中最關(guān)鍵是要先摸清家底,。

  假設(shè)一個政企單位所有的軟件應用都是直接引入的,那么就需要對這些軟件進行全面的體檢,,把其中的一些技術(shù)組件的風險,,軟件代碼的風險,以及開源的許可證問題都提前篩查出來,。尤其是開源許可證風險,,當前國內(nèi)許多開發(fā)人員認為開源軟件是綠色軟件,,可以任意使用,。但實際上,如果開發(fā)人員未遵循開源軟件許可證而任意進行軟件開發(fā)的話,,很有可能軟件所屬的政企單位也要承擔版權(quán)侵權(quán)的責任,,其所造成的商業(yè)損失可能會遠超業(yè)務(wù)價值本身。

  軟件生產(chǎn)環(huán)節(jié)

  在軟件生產(chǎn)環(huán)節(jié)要存在開源組件風險,、自研代碼安全質(zhì)量風險和三方服務(wù)未知風險,,面臨的供應鏈核心安全問題是供應鏈投毒、軟件生產(chǎn)安全,。重點需要考慮如何去防治供應鏈各個環(huán)節(jié)帶來的安全風險,。

  對于政企單位的研發(fā)部門來說,即使是低代碼平臺或是小程序,,也應該圍繞整個代碼的完整性,、代碼開發(fā)環(huán)境,以及開發(fā)工具,、開發(fā)人員和制度,,針對相對應的一些安全措施去做加強和保證,,而不是簡單地靠簽署保密協(xié)議來提升安全性。

  軟件應用環(huán)節(jié)

  在軟件應用環(huán)節(jié),,會存在軟件部署風險,、運行期間風險,面臨的供應鏈核心安全問題是供應鏈安全事件響應,。

  正如不久前爆發(fā)的Fast Jason反序列化漏洞和log4J2漏洞等等,,軟件上線后經(jīng)常會爆出各種各樣的漏洞,在領(lǐng)導眼中這個問題很好解決,,如果組件有漏洞不用它就好了,,但實際上很多核心組件并沒有替代品,即使存在安全問題也必須帶病上線,。

  沈錫鏞指出,,“除了沒有替代組件外,往往大家政企單位還面臨著另一個窘迫的現(xiàn)狀,,漏洞爆發(fā)后,,定位漏洞位置很慢。一家數(shù)字化企業(yè)擁有大量的數(shù)字化應用,,其中又集成了大量不同版本的第三方組件,,很難去一一回溯和甄別所有組件的位置,但是如果定位速度慢的話,,帶來的只能是十倍百倍的應急時間,,?,?業(yè)務(wù)又不能中斷,,因此造成的后果只能是向攻擊者敞開大門。這些問題發(fā)展到今天,,已經(jīng)不是靠安全部門就能夠解決了,,而是要靠安全部門跟開發(fā)部門、業(yè)務(wù)部門一起去共同承擔,?!?/p>

  沈錫鏞最后介紹,默安科技是國內(nèi)首批開辟開發(fā)安全業(yè)務(wù)的安全廠商,,在軟件供應鏈安全方面有很深的積累實踐,。從最初的開發(fā)安全體系咨詢,到建設(shè)完整的開發(fā)安全工具鏈,,積累了大批的項目建設(shè)經(jīng)驗,,再到參加國家行業(yè)相關(guān)標準的制定和試點推廣,將開發(fā)安全建設(shè)延展到供應鏈安全治理,,研發(fā)軟件供應鏈風險評估平臺,,并且依托階段性的標準化建設(shè)成果,,在關(guān)基單位進行落地實踐,最終拉動產(chǎn)業(yè)和監(jiān)管逐步勾勒出了默安科技獨創(chuàng)的軟件供應鏈安全管理的體系架構(gòu)和實現(xiàn)路徑,。

  目前默安科技已經(jīng)積累包括在政府機構(gòu),、數(shù)字化轉(zhuǎn)型單位以及大型集團企業(yè)在內(nèi)的大量軟件供應鏈安全建設(shè)案例,為各類行業(yè)用戶提供軟件供應鏈安全解決方案,。未來默安科技將繼續(xù)深耕優(yōu)勢領(lǐng)域,,為全球數(shù)字貿(mào)易產(chǎn)業(yè)的創(chuàng)新與高質(zhì)量發(fā)展貢獻更多安全力量。



  更多信息可以來這里獲取==>>電子技術(shù)應用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。