ISC 2023软件供应链安全洞察

软件供应链安全洞察关于ISCISC成立于2013年，是国内唯一专注为数字安全行业赋能的平台。打维一体”的生态模式，全面赋能国家、政府、行业、企业、个人。过去10年，ISC秉承创新引领、智慧洞察、专业当今世界规格高、辐射广、影响力深远的全球性安全峰会——互联网安全本报告版权属于ISC，任何组织、个人未经授权，不得转载、更改或者以任何方式传送、复印、派发该报告内容，违者将依法追究法律责任。转·本报告中的信息及观点仅供参考，ISC对本报告拥有最终当今世界处于数字化转型过程中，社会运行对软件的依赖日益加深，2020年底被爆出的SolarWinds攻由于开源软件的广泛采用、基础架构云化、以及软件开发全球供应链的原因，软件供应链安全问题的解决变得尤为困难，ISC推出的这份《软件供应链安全行业洞察报告》可以为国内软件供应链安全问题的解决提白皮书介绍了软件供应链安全的重要性、现状、风险、攻击类型、治理指南以及落地实践方案等方面的内容。白皮书从市场动态、技术发展、政策法规等方面分析了软件供应链安全的现状，同时还对软件供应链安全风险进行了分析，包括软件供应链的构成要素、软件开发生命周期阶段、软件供应链威胁行为类别以及软件供应链安全风险影响范围等维度。接着，对软件供应链攻击类型进行了分析，包括开发阶段、分发阶段、部署阶段和维护阶段等不同阶段的攻击类型。在此基础上，提供了软件供应链安全风险治理指南，包括软件供应链风险治理体系建设、软件供应商风险管理以及软件开发生命周期风险治理指南等方面的内容。最后，介绍了软件供应链安全落地实践方案，包括悬镜软件供应链安全治理与运营解决方案在某金融机构的落地实践案例和某能源集团软供安全漏洞自动挖掘和修复落地实践等方面的内容，同时也探讨了软件供应链安软件供应链安全是当今网络空间安全的热点问题之一，一系列法律法规、最佳实践、技术、产品、流程还在在快速的完善过程中。关注软件供应链安全，保护信息安全、组织声誉、降低法律风险、提高业务持续真实有效的落地案例，内容全面、技术详实、观点清晰，可作为各组织与机构在规划、实施软件供应链安全近年来软件供应链安全问题备受关注，但软件供应链安全范围不清晰，定义模糊，涉及技术和安全类型复杂。本书结合安全形势，抓住软件供应链安全的核心，预测了软件供应链安全的发展趋势，对软件供应链不断的发展和演进，当前软件供应链安全面临着带来复杂度和管理难度。包括安全漏洞等治理难度增加供应链投毒危害较大。3.非技术因素也在影响软件供在这个信息化迅速发展的时代，软件已经变得无处不在，从基础设施到日常设备，软件都在默默支撑着我们的生活和工作。然而，随着软件在全球范围内的普遍软件供应链安全，简而言之，是确保软件的开发、分发和维护过程中，确保软件及其组成部分（包括源代码、库和组件）不受到威胁行为者的恶意攻击或利用的一种安全策略。在当下全球化和模块化的软件开发趋势下，软件供应链的复杂性日益增加，无疑为软件供应链安全带来了更大的挑战。从最近几年连续发生的软件供软件供应链安全的问题对我们的影响是深远的。其问题不仅可能影响软件的正常运行，还可能对使用者、公司，甚至是整个社会造成深远影响。各地政府和企业也都已经意识到这个问题的严重性，并开始寻求解决方案，但由于软件供应链的全在这份报告中，我们将从全球视野出发，深度剖析软件供应链安全的当前状态、主要问题、风险因素和应对策略。我们将重点介绍如何在软件供应链的各个环节，从设计开发到部署和维护中实现安全防护，以及如何利用最新的技术和工具提在数字化进程日益加速的今天，软件供应链安全不仅是一个技术问题，更是一个战略问题。同时，软件供应链安全不是一个短期可以解决的问题，它需要我们持续的努力和投入。希望通过我们的分析和洞察，能够为行业从业者提供有价值的信2软件供应链安全现状分析2.1市场动态分析2.2技术发展现状2.3政策法规要求3软件供应链安全风险分析3.1软件供应链的构成要素维度分析3.2软件开发生命周期阶段维度分析3.3软件供应链威胁行为类别维度分析3.4软件供应链安全风险影响范围分析4软件供应链攻击类型分析4.1开发阶段攻击类型分析4.1.1开发工具污染攻击4.1.2CI/CD流程攻击4.1.3源代码篡改攻击4.1.4第三方依赖攻击4.1.5依赖混淆攻击4.2分发阶段攻击类型分析4.2.1篡改分发渠道攻击4.2.2篡改安装包攻击4.3部署阶段攻击类型分析4.3.1恶意代码插入4.3.2篡改配置攻击4.4维护阶段攻击类型分析4.4.1劫持更新攻击4.4.2利用陈旧组件攻击5软件供应链安全风险治理指南5.1软件供应链风险治理体系建设225.2软件供应商风险管理225.3软件开发生命周期（SDLC）风险治理指南245.3.1需求分析阶段245.3.2设计分析阶段255.3.3研发测试阶段255.3.4发布部署阶段325.3.5运行维护阶段345.3.6废弃下线阶段386软件供应链安全落地实践方案6.1悬镜数字供应链安全方案在某金融机构的落地实践416.2某能源集团软供安全漏洞自动挖掘和修复落地实践486.3源码级软件供应链安全解决方案落地实践516.4某大型制造国有企业应用系统全生命周期安全管理596.5CodePecker软件供应链安全解决方案助力某金636.6软件供应链安全测试解决方案落地实践666.7某头部金融机构UniSCA软件供应链安全管理平台697软件供应链安全未来发展趋势7.1加大安全自动化和AI应用的投入7.2加强供应商安全审查和监管力度7.3采用更先进的加密和身份验证技术7.4推行实施更严格的政策和法规7.5实现行业内生态合作和共享7.6利用体系化解决方案提升安全效能和可行性 02安全性：安全性是软件供应链安全最基础也是最关始终保持原始的完整状态。这不仅需要在软件传输和存储过程中保证数据的完整性，也需要在软件修会因为各种原因被削弱或破坏。03等环节。透明性可以帮助检测和防止不良行为，增加信任以及提供有价值的信息来改进软件供应链的持续性：持续性是指软件供应链的安全管理是一个持续不断的过程，而不是一次性的工作。随着技术大约1990s大约1990s发展1990s-2000s1990s-2000s云计算和DevOps时代04开始看到有关软件供应链安全的标准开始被提出和制定，例如，软件供应链安全的开放标准SWID标签0206供应链攻击的增加：随着黑客和网络犯罪团伙的技术手段日益精进，供应链攻击的数量正在急剧072.2I技术发展现状安全漏洞和恶意代码。082.3I政策法规要求复杂的网络环境和日益严重的网络攻击威胁使得网络安全问题异常复杂，许多问题无法仅靠技术手段解0903部署环境风险：软件部署环境的安全问题也会直接影3.2I软件开发生命周期阶段维度分析3.3I软件供应链威胁行为类别维度分析3.4I软件供应链安全风险影响范围分析04CI/CD流程攻击·典型案例分析：·典型案例分析：XcodeGhost攻击事件这次攻击被称为影响最大的iOS系统的恶意软件攻击之一，凸显了攻击者是如何利用开发者对开发工具4.1.2CI/CD流程攻击 ·典型案例分析：CodecovBashUploader安全事件4.1.3源代码篡改攻击·典型案例分析：·典型案例分析：SolarWindsOrion供应链攻击4.1.4第三方依赖攻击·典型案例分析：·典型案例分析：Event-StreamNPM包篡改案这段恶意代码的目标是针对特定的使用者：使用了Event-Stream并且包含Copay项目代码的应用。4.1.5依赖混淆攻击 ·典型案例分析：RubyGemsTyposquatting事件4.2I分发阶段攻击类型分析4.2.1篡改分发渠道攻击·典型案例分析：·典型案例分析：ShadowPad攻击在这次攻击中，攻击者首先入侵了NetSarang的软件构建系统，然4.2.2篡改安装包攻击·典型案例分析：·典型案例分析：CCleaner攻击事件4.3I部署阶段攻击类型分析4.3.1恶意代码插入·典型案例分析：·典型案例分析：ShadowHammer攻击4.3.2篡改配置攻击·典型案例分析：·典型案例分析：VPNFilter恶意软件攻击4.4I维护阶段攻击类型分析4.4.1劫持更新攻击·典型案例分析：·典型案例分析：NotPetya勒索软件攻击攻击者首先对乌克兰一家软件公司MEDoc的更新服务器进行了攻击，并在其更新程序中植入了4.4.2利用陈旧组件攻击·典型案例分析：·典型案例分析：WannaCry勒索软件攻击在具体的攻击过程中，WannaCry勒索软件首先会通过互联网寻找使用了未打补丁的Windows系统的 软件供应商风险管理 软件供应商风险管理5.2I软件供应商风险管理供应商信息收集 制定评估标准进行供应商评估制定安全条款审查合同供应商管理阶段 软件供应商选择阶段供应商管理阶段合同审查阶段供应商风险处理阶段合同审查阶段建立监控机制供应商安全审计制定风险处理策略执行风险处理策略供应商信息收集：首先需要对软件供应商的安全态势有全面的了解5.3I软件开发生命周期（SDLC）风险治理指南5.3.1需求分析阶段从SDLC的需求分析阶段开始就对软件供应链安全风险进行治理，可以更早地识别和解决5.3.2设计分析阶段可以使用STRIDE（Spoofing,Tampering,Repudi·进行安全原型验证5.3.3研发测试阶段SAST工具的主要目标是识别可能导致安全漏洞的代码模式和行为，SAST工具合规性检查：很多行业和地区有严格的代码合规性要求，SAST工具可以自动检查代码是否符合这些精确性：IAST工具可以直接访问应用程序的数据和控制流信息，因此其发现问题的精确性往往高于模糊测试技术的优势在于其能够发现那些常规测试方法难以发现的潜在问题，如缓冲区溢出、内存泄露题的能力。他们可以通过将SBOM数据与强大的软件漏洞管理策略相结合来保护软件供应链的完整性。5.3.4发布部署阶段5.3.5运行维护阶段自动化地模拟各种攻击向量和威胁场景，来验证和测量组织的网络安全防御能力。BAS在现实世界中模拟攻零信任模型的工作原理是通过对所有用户和设备进行持续且严格的身份验证和权限管理，以保护网络和持续验证和监视：零信任模型需要持续进行身份验证和行为监视，以防止任何未经授权的访问或恶意5.3.6废弃下线阶段0642·供应源头治理阶段43·研发过程治理阶段44·上线运营治理阶段4546473、DevOps平台业务面临中断可能：Jenkins插件支持热部署，不需要每次更新插件时都需要重启486.2I某能源集团软供安全漏洞自动挖掘和修复落地实践49·安全咨询服务·开发阶段工具检测6.3I源码级软件供应链安全解决方案落地实践现了江西某银行信息化建设及运营过程中的软件供应链安全保障功能，其中主要集成了软件成分分析功能模软件供应链安全智能分析平台的软件成分分析功能模块包括软件资产分析功能、已知漏洞检测软件资产分析功能对企业内部软件资产进行源码级细粒度的动态管理，并进行依赖关系关联分析和统），软件供应链安全智能分析平台不仅支持文件与文件之间的比较，而3.供应链智能安全分析平台与DevSecOps深度融合6.4I某大型制造国有企业应用系统全生命周期安全管理平台项目结合该国企信息应用系统建设管理现状，依据《信息安全技术网络安全等级保护基本要求》（GB-T本项目围绕应用系统的项目立项需求阶段、系统开发阶段、系统测试阶段和系统运营阶段等阶段的安全周期安全检测和软件供应链安全保障。行代码高危漏洞出现率千分之0.38，代码整体缺陷中代码质量缺陷占比67.22%，代码安全风险类该项目经过一年多时间的建设和优化，建成一套应用系统全生命周期管理平台、一套黑白灰安全测试工6.5ICodePecker软件供应链安全解决方案助力某金融机构搭建通过为某金融机构相关的安全团队进行技术赋能，主要提供基于语法树和数据流的字节码漏洞分析以软开代码检查为内核，通过酷德啄木鸟公司源代码缺陷分析系统演进为某金融机构的代码资产检查平6.6I软件供应链安全测试解决方案落地实践目前软件供应链由于开源和云原生时代的到来越来越趋于复杂化和多样化，软件供应链安全风险不断加供应链软件安全测试床环境构建过程中有如下挑战：6.7