软件供应链安全治理实践指南白皮书 2023

1 3 5 5 6 13 20 202.2API风险日益突出 22 25 262.5APT攻击更加复杂 27 28 29 293.1.1SLSAv1.0框架 293.1.2SSDF框架 31 323.2.1理念一：可展示软件成分 3223.2.1理念二：可评估软件供应链过程 353.2.3理念三：可信任软件供应链 373.2.4理念四：可持续运营与管理 38 393.3.1安全管理 403.3.2基础安全原子能力 423.3.3持续监控与运营能力 62 774.1DevSecOps实践 774.2源软件安全治理实践 80 845.1SBOM能力日渐成熟 84 84 85 86 883软件的风险和软件供应链的安全风险已经严重威胁到企业的软件安软件供应链安全能力建设的不完善以及软件供应链安全态势持续监4安全。5一、软件供应链安全概述1.1软件供应链安全概念代升级，并且成为了全球软件技术和产业创新的主导模式。据6定义。《GB/T36637-2018信息安全技术ICT供应链安全风险管理1.2软件供应链主要安全事件近年来，攻击者利用软件供应链进行攻击的事件频发，据7可靠，对于整个软件生态系统的安全至关重要。图1软件供应链攻击事件，20198序号关键词事件描述影响2023年3月openAI数据泄露由于Redis开源库中的一个错误导致ChatGPT服务中暴露了其他用户的个人信息和聊天标题。至少导致1.2%的ChatGPTPlus用户的个人信息和其他用户的聊天查询被泄露。2.2023年2月PyPI仓库被持续投毒中存在多个流氓软件包，通过这些软件包攻击者能够netstat工具以及操作SSHauthorized_keys文件等。软件包被删除之前被下载超过450余3.2022年6月PyPI仓库遭遇投毒PyPI官方仓库被攻击者上传了agoric-sdk、datashare、datadog-agent等150+个恶意钓鱼包。上传后仅6个小时就有225次的下载。94.2022年4月政治制裁俄乌战争期间，GitHub官方根据美国政府提出的出口管制和贸易法规要求，针对俄罗斯GitHub用户开始无差别封禁账号，包括俄罗斯银行Sberbank、俄罗斯最大的私人银行Alfa-Bank和其他公司账户。受制裁企业将无法再使用GitHub作为代码管理平台，同时企业与个人账号内容将被清除，所有repo立即无法访问，issue和pullrequest也将受限；俄罗斯可能将无法获得正式使用部分开源软件应有的支持和更新。5.2022年4月Spring4ShellSpringFramework是一SpringFramework远程代码执行漏洞（CVE-2022-22965）在互联网小范围内公开后，其影响面迅速扩大，此漏洞成为了2022年上半年热度最大的漏洞，也是近几年来Spring是一个非常流行的框架，60%的Java开发人员依赖它来开发应用程序，由于此框架在Java生态系统中处于主导地位，大量应用程序会受“Spring4shell”零最严重的网络安全威胁之一。日漏洞的影响。6.2022年3月Node-ipc投毒node-ipc是使用广泛的npm开源组件，其作者出于其个人政治立场在该项目的代码仓库中进行投毒，在代码中加入了针对俄罗斯和白俄罗斯IP用户删除、覆盖磁盘文件的恶意代码，通过peacenotwar组件在用户桌面添加防止反战标语。等应用广泛的第三方软件受到该事件影响。7.2022年1月NodeJS依赖包faker和color投毒faker.js是用于生成伪造数据的JavaScript库，colors.js是为前端开发者提供的一个简单的颜色管理API。本次事件两个包的作者向两个包中提交了恶意代码，进行了供应链投毒后将其发布到了Github和npm包管理器中。使用了colors.js和faker.js的包的项目，直接引用和间接引用都会受到影响。8.2021年12月Log4j2漏洞ApacheLog4j2是一个开源基础日志库，是对Log4j组件的升级，被广泛用于开目支持属性查找，并能够将各种属性替换到日志中。用户可以通过JNDI检索变量，但是由于未对查询地址做好过滤，存在JNDI注入漏洞。Log4j2应用极其广泛，影响范围极大，同时随着供应链环节增多、软件结构愈加复杂，上述漏洞也更加难以发现、修复（尤其是间接使用到该组件的项目）。9.2021年10月ua-parser-js投毒攻击ua-parser-js作为一个周下载量超过700万的npm包，被攻击者投毒，攻击者发布了三个新版本，每个版本都包含了安装时会触发下载远程恶意脚本的代码。这个包被近1000个其他第三方包依赖，造成的影响极其广10.2020年12月软件供应商被攻击SolarWinds遭遇国家级APT团伙的供应链攻击，对美国各个行业的大量客户产生了严重影响。造成大量数据泄露，包括机密资料、源代码以及电子邮件等。美国政府、国防承包商、金融机构和其他许多组织都受到了影响。需求方供应方攻击技术攻击技术信任关系滥用钓鱼恶意软件感染物理攻击或修改伪冒数据个人数据知识产权软件进程带宽财务相关人员恶意软件感染社会工程攻击爆破攻击漏洞利用配置缺陷利用开源情报预置软件软件仓库源代码配置文件数据进程供应方相关人员1.3国内外政策法规及标准序号法律法规美国2023年美国发布《2023年国家网络安全战略》，指出美国行政管理和预算局（OMB）将与美国网络安全和基础设施安全局（CISA）协调制定行动计划，通过集体防御、扩大集中式共享服务的可用性和软件供应链风险缓解来保护FCEB系统。2.2022年美国网络安全和基础设施安全局（CISA）主导成立的ICT供应链风险管控工作组制定了2022年的工作计划，工作组计划将软硬件物料清单以及加大对中小企业的影响力作为其供应链风险治理的重点。3.2021年美国相继发布《关于改善国家网络安全》的14027号总统行政令，明确要求美国联邦政府加强软件供应链安全管控；14017号《确保美国供应链安全》行政令，要求对包括半导体芯片在内的ICT产品开展供应链风险审查，以建立更具韧性、安全可靠的美国供应链。4.2019年美国特朗普政府签署了名为《确保信息和通信技术及服务供应链安全》的行政令，宣布美国进入受信息威胁的国家紧急状态，禁止美国个人和各类实体购买和使用被美国认定为可能给美国带来安全风险的外国设计制造的ICT技术设备和服务。5.2018年美国国会通过了《安全技术法案》，《联邦采购供应链安全法案2018》作为该法案的第二部分一并签发。《联邦采购供应链安全法案2018》创建了一个新的联邦采购供应链安全理事会并授予其广泛权利，为联邦供应链安全制定规则，以增强联邦采购和采购规则的网络安全弹性。6.2014年美国国会提议了《网络供应链管理和透明度法案》，意在确保为美国政府开发或购买的使用第三方或开源组件以及用于其他目的的任何软件、固件或产品的完整性。7.2022年欧盟发布了题为《网络弹性法案》（CyberResilienceAct）的草案，旨在为联网设备制定通用网络安全标准。法案要求所有出口欧洲的数字化产品都必须提供安全保障、软件物料清单SBOM、漏洞报告机制，以及提供安全补丁和更新。8.2021年欧盟网络和信息安全局（ENISA）发布了《供应链攻击威胁全景图》，该报告旨在描绘并研究从2020年1月至2021年7月初发现的供应链攻击活动。该报告通过分类系统对供应链攻击进行分类，以系统化方式更好地进行分析，并说明了各类攻击的展现方式。9.2019年欧盟《外国直接投资审查条例》生效。该条例指出，欧盟有权对参与5G网络等关键基础设施投资的外商进行审查和定期监控，以保障5G网络等关键基础设施的安全性，同时避免关键资产对外商的过度依赖。这也是欧盟保障5G供应链安全的有效工具。10.2015年欧盟网络和信息安全局（ENISA）发布《供应链完整性：ICT供应链风险和挑战概述和未来愿景》报告，建议建立统一的ICT供应链安全风险评估框架来开展ICT供应链安全评估工作。11.2013年欧盟颁布《欧盟网络安全战略》，要求采取措施确保用于关键服务和基础设施的硬件和软件值得信赖和安全可靠。12.2012年欧盟网络和信息安全局（ENISA）发布了《供应链完整性ICT供应链风险和挑战概览，以及未来的愿景》报告，并于2015年更新。13.2021年7月30日正式公布的《关键信息基础设施安全保护条例》第十九条明确指出：运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。14.2020年《网络安全审查办法》明确提出，为了确保关键信息基础设施供应链安全，维护国家安全，对关键信息基础设施运营者采购的网络产品和服务，影响或可能影响国家安全的应该进行网络安全审查。15.2017年《中华人民共和国网络安全法》第三十五条“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查”和第三十六条“关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任”，分别从网络安全审查、网络产品和服务安全角度对供应链安全提出要求。序号标准编号名称ISO/IEC27036:2014《信息技术安全技术供应商关系的信息安全》系列标准2.ISO/IEC20243《信息技术开放可信技术提供商标准减少恶意和仿冒组件》系列标准3.ISO28000《供应链安全管理体系规范》4.美国NISTSP800-161《联邦信息系统和组织的供应链风险管理实践》5.--《安全软件开发框架》6.--《关键软件定义》7.--《网络供应链风险管理(C-SCRM)框架》8.--《面向供应商的软件供应链安全实践指南》9.--《面向开发者的软件供应链安全实践指南》10.--《面向客户的软件供应链安全实践指南》11.NIST.IR.8397《开发者软件验证最低标准指南》12.GB/T39204-2022《信息安全技术关键信息基础设施安全保护要求》13.GB/T36637-2018《ICT供应链安全风险管理指南》14.GB/T32921-2016《信息安全技术信息技术产品供应方行为安全准则》15.GB/T32926-2016《信息安全技术政府部门信息技术外包信息安全管理规范》16.GB/T31168-2014《信息安全技术云计算服务安全能力要求》17.在研《信息安全技术软件供应链安全要求》18.在研《信息安全技术软件产品开源代码安全评价方法》19.在研《信息安全技术关键信息基础设施信息技术产品供应链安全要求》20.在研《软件供应链安全能力成熟度参考模型》21.在研《软件物料清单（SBOM）构建总体框架》22.在研《面向云计算的可信研发运营安全能力成熟度模型》23.在研《研发运营安全技术总体框架》24.在研《面向云计算的研发运营安全工具体系第1部分：总体框架》25.在研《面向云计算的研发运营安全工具体系第2部分：静态应用程序安全测试工具能力要求》26.在研《面向云计算的研发运营安全工具体系第3部分：交互式应用程序安全测试工具能力要求》27.在研《面向云计算的研发运营安全工具能力要求第4部分：实时应用程序自我保护工具》20二、软件供应链安全面临严峻挑战2.1开源代码风险不断增加表52022年开源项目统计数据语言开源项目数项目版本数2022年下载量同比项目增长同比下载量增长平均发版量Java49.2万950万6750亿14%36%1921JavaScript206万2900万2.1万亿9%32%1439.6万370万1790亿18%11%9.NET32.1万470万960亿-5%23%15总计/平均约327万约4700万3万亿9%33%14图22018-2022年下载量年分析的1703个代码仓库中，有96%包含开源代码，22洞在营销科技领域至少增加了42%，在零售和电子商务领域更是猛图32018-2023按行业划分的开源和高风险漏洞变化情况2.2API风险日益突出23APISecurityQ12023》报告显示，在2022年12月份就发生了API。为了掌握API所面临的主要风险，OWASP组织对的主要风险进行了梳理，并发布了第一版《OWASPAPI安全TOP10》，这些风险都对软件应用的安全性造成了严重的威胁，详表6OWASPAPI安全TOP10风险类别详细描述API1:2019-失效的对象级别授权API倾向于公开处理对象标识符的端点，从而产生广泛的攻击表层访问控制问题。在使用用户输入访问数据源的每个函数中，都应考虑对象级授权检查。API2:2019-失效的用户身份验证身份验证机制的实现不正确，使得攻击者能够破坏身份验证令牌或利用漏洞临时或永久地盗用其他用户的身份，破坏系统识别客户端/用户的能力，损害API的整体安全性。API3:2019-过度的数据暴露开发人员倾向于公开所有对象属性而不考虑其各自的敏感度，依赖客户端在向用户显示数据前执行数据筛选。24API4:2019-资源缺乏和速率限制API通常不会对客户端/用户可以请求的资源的大小或数量施加任何限制，这不仅会影响API服务器的性能，导致拒绝服务（DOS而且还会为诸如暴力破解等身份验证缺陷提供便利。API5:2019-失效的功能级授权具有不同层次结构、组和角色的复杂访问控制策略，以及管理功能和常规功能之间不明确的分离，往往会导致授权漏洞。通过利用这些漏洞，攻击者可以访问其他用户的资源或管理功能。API6:2019-批量分配将客户端提供的数据（例如JSON）绑定到数据模型，而无需基于白名单进行适当的属性筛选，通常会导致批量分配。无论是猜测对象属性、探索其他API端点、阅读文档或在请求负载中提供其他对象属性，攻击者都可以修改它们不被允许修改的对象属性。API7:2019-安全配置错误安全错误配置通常是由于不安全的默认配置、不完整或临时配置、开放云存储、配置错误的HTTP头、不必要的HTTP方法、允许跨域资源共享（CORS）和包含敏感信息的详细错误消息造成的。API8:2019-注入当不受信任的数据作为命令或查询的一部分发送给解释器时，就会出现注入缺陷，如SQL注入、NOSQL注入、命令注入等。攻击者的恶意数据可诱使解释器在未经恰当授权的情况下执行非预期的命令或访问数据。25API9:2019-资产管理不当与传统Web应用程序相比，API倾向于公开更多的端点，这使得恰当的文档编制和更新变得非常重要。正确的主机和已部署的API版本清单对于缓解弃用的API版本和公开的调试终端节点等问题也起着重要的作用。API10:2019-日志和监视不足日志记录和监控不足，加上与事件响应的集成缺失或无效，使得攻击者可以进一步攻击系统。大多数违规研究表明，检测违规行为的时间超过200天，通常由外部方而不是内部程序或监控发现。2.3威胁暴露面持续增多2022年，Gartner提出持续威胁暴露面管理（ContinuousThreatExposureManagement,CTEM），预测到2026年，采用262.4软件安全治理困难l缺乏成熟的软件安全管理体系，企业面向软件供应链的软件27产和新增软件资产的信息进行有效采集，构建软件资产的全组成，对开源软件和开源组件进行识别和风险评估，才能使大部分情况会要求进行软件升级，但是软件升级需要考虑兼容性和组件之间的依赖关系，由于不兼容而导致的软件无法2.5APT攻击更加复杂APT攻击一直是我国面临的最严重的网络安全威胁之一，一些据中国信息安全测评中心本年度发布的《全球高级持续性威胁弥散的特点。当前，漏洞利用成为了APT282.6云安全进入下半场29三、软件供应链安全治理安全运营和风险抵抗能力。3.1软件供应链安全框架软件联盟安全软件框架（BSAFSS）、SAFECode安全软件开发基3.1.1SLSAv1.0框架SLSA，该框架是一套可逐步采用的供应链安全指南，由行业共识制302023年4月，SLSAv1.0发布，相比SLSAv0.1发生了很大的是最高水平，SLSA1-3提供较低级别的安全性保证，其中每个级别级别4以及源代码和通用要求推迟到未来的版本。目前SLSAv1.0表7SLSAv1.0构建轨道安全级别及要求轨道/等级要求概述好处构建L0无无无构建L1出处存在包有出处，显示它是如何建造的，可用于防止发通过了解其精确的源版本和构建过程，使生产者和消费者更容易调试、修补、重建或分析软件；帮助组织创建软件清单。构建L2托管构建平台构建在托管平台上运行，由平台生成并签署出处。通过数字签名防止构建后的篡改；通过将构建限制为可以审计和加固的特定构建平台来减少攻击面。31构建L3强化构建构建在提供强大防篡改保护的构建平台上运行。防止在构建过程中受到内部威胁、泄露的凭据和其他用户的篡改。注着构建过程中的完整性，作为一个由行业共识决定3.1.2SSDF框架安全软件开发框架(SSDF)是由NIST开发的一套指导方针，用l组织准备(Preparetheorganization，Po)：侧重于为安全开发人员进行安全编码以及实现漏洞管理过程等实践。l保护软件(ProtecttheSoftware，PS)：在开发过程中，保32强调通过确保在软件开发生命周期(SDLC)中集成安全性来查和软件组合分析。3.2软件供应链安全治理理念和技术相结合，打造完备的软件供应链安全治理体系。示软件供应链的组成成分的情况。33透明程度概念简述不透明软件整体作为一个软件成分。微透明直接依赖检测出的开源组件、第三方组件，组件基本信息完整，直接依赖关系正确。半透明通过组件指纹识别出的开源组件、第三方组件，组件基本信息完整，直接依赖关系正确，包含必要组件扩展信息完整（如：核心组件的开源知识产权信息、关联漏洞信息）。透明通过代码片段识别出的开源组件、第三方组件，组件基本信息完整，直接依赖及间接依赖关系清晰，包含重要的组件扩展信息完整。34透明程度概念简述概念释义软件基本信息软件名称标识软件的实体名称。软件作者名称软件责任人或团体名称。软件供应商名称原始供应商名称。软件版本供应商用于标识软件修改的版本标识符。软件列表软件列表、软件包括开源许可证版权与开放标准、第三方授权信息等。时间戳记录软件基本信息生成的日期和时间。软件签名保证软件信息真实性、完整性。唯一标识用于标识软件或在软件成分清单数据库中查找的唯一标识符。软件间的关系包含关系如源代码与编译后二进制的包含关系，发布容器镜像与二进制的包含关系等。依赖关系35其他关系其他关联关系。软件扩展信息软件知识产权信息包括开源许可证版权与开放标准、第三方授权信息等。关联漏洞信息漏洞信息，如对应CVE、CNVD、CNNVD等。其他信息其他相关信息。3.2.1理念二：可评估软件供应链过程此企业可参考典型的软件开发框架如SSDF、BSAFSS、SAMM、SAFECode等来规范软件开发工作，确保软件的开发安全，并构建36软件交付运行之前。发人员及时处理存在漏洞的组件。风险和组件成分漏洞风险。37对受影响的产品进行加固和修复。38估核心数据。形成面向软件供应链常态化的管控能力。39管理可持续。发现安全风险并要求整改，防止因供应商被攻击所带来的安全问题。3.3软件供应链安全治理体系403.3.1安全管理414243以常见应用漏洞为出发点，涵盖OWASPTOP10、CWE以及安全SDK库提供安全函数接口，将安全编码规范指导内容进行全编码效率，真正将安全编码规范落地到研发链条中。过靶场验证安全编码规范和安全SDK库中漏洞修复的有效性，形成44理想条件下，供应链中每一环节都要求该环节的上游环节提供45如下表所示。CycloneDXSPDXSPDXLiteSWID定义一种轻量级SBOM标准，设计用于应用程序安全上下文和供应链组件分析。一种标准语言，用于以多种文件格式传达与软件组件相关的组件、许可信息。是SPDX的轻量级子集，适用于不需要完整SPDX的情况。它旨在让那些没有开源许可知识或经验的人易于使用，并成为“某些行业中SPDX标准和实际工作流程之间的平衡”。SWID标准定义了一个生命SWID标签作为软件产品安装过程的一部分添加到端点，并在产品卸载过程中删除。维护者核心团队由来自OWASP、Sonatype和ServiceNow的人领导。由Linux基金会维护。由Linux基金会维护。由NIST维护。支持的格式XML,JSON，ProtocolRDFa,xlsx,spdx,xml,json,yRDFa,xlsx,spdx,xml,json,yamlxml46BUffersaml供应商，制作商，组件信息，证书信息，创建BOM的工具信息，外部API信息，依赖关系信息（依赖关系图）。SPDX文档创息，文件信息（可能包含在包信息里文书信息，SPDX元素之间的关系，注释信息（例如：审查SPDX文件的信息）。文档创建信息：SPDX版本、数据许可、SPDX标识符、文档名称、SPDX文档命名空间、创建者；组件信息：包名、包下载位置、包主明许可、许可注释和版权文本。述预安装阶段行文件）；的全球唯一标识符以及标识标签创建者的基本信息；并描述应用于产品的补丁；主要或补丁标签的附加细节。组件唯一标识支持软件坐标PURL（PackageURL）PURL（PackageURL）CPEchash47name，version)PURL（PackageURL）CPEPlatformEnumeration)SWID（ISO/IEC19770-2：2015）Cryptographichashfunctions(SHA-1，SHA-2，SHA-3，BLAKE2b，CryptographichashfunctionsSPDXIDhashfunctionsSPDXIDfunctionsSWID48BLAKE3)流/交换）和SaaSBOM是软件成分清单的两个辅助套件，是“传），SaaSBOM创新性地将“软件即服务（SaaS）”的供应商也包之间的数据定向流。可选地，SaaSBOM还可能够包括构成每个服49成流水线”，软件开发商将SBOM生成与DevOps流程相融合，开发阶段包括初期编程开发以及后期补丁，需要利用SC置管理管理）、VCS（版本控制系统）、SCA（软件成分分析）、软件还应在SBOM中声明许可证license；部署阶段，添加条款、插件以及配置信息，在维护/监控阶段，将已知安全漏洞信息插入文者相关材料时，也可用于验证供应商提供的50SCA是针对第三方开源软件（OSS）以及商业软件涉及的各 流跟踪的方式对目标组件的各个部分之间的通过静态SCA可以精准识别应用引用的开源第三方组件，分析组检测。从SCA分析的目标程序形式上分，对象可以是源代码也可以是51二进制格式类型详细纯二进制格式C/C++编译后的二进制文件，Java编译后的二进制文件.class，.NET编译后的二进制文件，Go语言编译后的二进制文件压缩包Gzip（.gz）、bzip2（.bz2）、ZAP（.zaip,.jar,.apk和其他衍Pack200（.jar）安装包（.dmg,.pkg）、Windowsinstallers（.exe,.msi,.cab）固定格式IntelHEX、SREC、U-Boot、Androidsparsefilesystem、Cisiofirmware文件系统/电子盘ISO9660/UDF（.iso）、QEMUCopy-On-WriteVDI（.vdi）、WindowsImaging、ext2/3/4、JFFS2、UBIFS、RomFS、FessBSDUFS容器DockerImage理解析通过分析源代码中的包管理配置文件直接得到对应的软件组52对于静态SCA分析过程中，有些组件在源码中被引用了但是实动态SCA主要是针对运行中的应用进行分析，依赖插桩技术原理，由于检测的是实际加载到Java虚拟机中的组件，能够避免因引而未软件安全检测检测技术主要有：静态应用安全测试(SAST)、动态应用安全测试(DAST)、交互式应用安全测试(IAST)和模糊测试(FUZZ)，不同的53对比项SASTDASTIASTFUZZ检测对象源代码运行中程序的数据流运行中程序的源代码、数据流运行中程序检测阶段开发/测试/上线测试/运营测试/运营开发/测试误报率高低极低（几乎为0）低测试覆盖度高低中低检测速度随代码量呈指数增长随测试用例数量稳定增加实时检测随测试用例数量稳定增加漏洞检出率高中较高中影响漏洞检出率因素检测技术,缺陷规则测试用例覆盖度则测试用例质使用成本高，需要人工排除误报低，基本没有误报低，基本没有误报支持语言区分语言不区分语言区分语言不区分语言侵入性低较高，脏数据低低CI/CD集成支持不支持支持不支持54降低后期成本，原理如下图所示。55漏洞扫描两种类型。如下图所示。Web应用是对运行中的Web应用程序进行漏洞扫描，整个扫如下图所示。56行时的行为并分析，从而发现应用存在的漏洞。IAST结合了DAST57前市面上Java版的RASP应用居多，因此，本文重点介绍JavaRASP的相关内容。从JDK1.5开始，Java新增了Instrumentation（JavaAgent个class文件之前对其字节码进行修改，同时也支持对已加载的58class（类字节码）进行重新加载（Retransform）。RASP正是利在Java语言底层重要的API（如：文件），59当前，随着Devops变得越来越普遍，RASP因其具备识别攻融入软件开发等特性，逐步被业内的安全防护实践方案采用。向代理模式和旁路模式，具体介绍如下表所示。表13WAF的部署模式60反向代理模式是指WAF设备部署网络旁路模式指WAF设备不作为后台服务在路由设备上。JSON套件、XML套件为API的消息保护和安全审计提供技术支持。61API的运营安全，如下图所示。资产管理可以利用WAF、API网关、IAST和RASP等收集到623.3.3持续监控与运营能力软件资产安全63行梳理和纳管实现对软件资产的日常监测和管理具有十分重要的意646566对软件供应商的人员进行管理能够有效地降低软件供应链安全事件供应商的开发人员可能因为安全意识薄弱的问题导致软方案，这些数据的泄露会带来重大风险。67开源组件漏洞持续监测需要对软件项目依赖的所有开源组件进68开源组件风险监测依赖于开源组件威胁情报以及对开源组件的69康度。洞检测、认证和权限的检查等。在覆盖软件生命周期的各阶段，对API信息进行全面的收集和监测，形成API拓扑图，并对收集到的70有效对API风险实现了闭环的管理，最大限度降低API安全风险对靠性。展风险监测时重点关注，具体的风险信息如下表所示。风险类别详细描述软件漏洞利用软件产品内部开发过程中产生的以及从上游继承的软件漏洞无法避免，这些软件漏洞可能被攻击者利用，对软件以及计算机系统造成严重的安全风险。软件后门植入供方预留后门：供方出于软件维护的目的，在软件产品中预置后门，如果预置后门被泄露，攻击者会通过预置后门获得软件或操作系统的71访问权限；攻击者恶意植入后门：攻击者入侵软件开发环境，污染软件供应链中的组件，劫持软件交付升级链路，攻击软件运行环境植入恶意后门，获得软件或操作系统的访问权限。恶意篡改恶意代码植入：在需方不知情的情况下，在软件产品或供应链中的组件中植入具有恶意逻辑的可执行文件、代码模块或代码片断；开发工具植入：使用被恶意篡改的开发工具，导致开发的软件或组件存在恶意代码；供应信息篡改：在供方不知情的情况下，篡改软件供应链上传递的供应信息，如销售信息、商品信息、软件构成信息等。假冒伪劣供方提供未经产品认证、检测的软件或组件，