供应链安全，怎样在关键时刻不掉链子？

软件技术飞速发展，软件开发手段不断进步，开源、云原生等技术被广泛应用。软件供应链在趋于多元化发展的同时，一方面加速了技术的革新和升级，同时也催化出一种新型的安全威胁，使得软件供应链面临严重的安全问题[1]。软件供应链是一个由各种组织、人士、信息、资源以及行为组成的将商品或者服务从供应者转移到消费者的系统。商品与服务是软件，供应者与消费者分别指软件供应商与软件用户，自然资源、原材料、中间组件可以对应软件设计与开发的各个阶段中编入软件的代码、模块和服务，加工过程则对应了编码过程，工具以及设备，而在网络安全领域，供应链涉及大量资源(硬件和软件)、存储(云或本地)、发行机制(Web应用程序、在线商店)和管理软件。

行业不同，其所包含的供应链也不同，一般来说构成供应链的基本要素包括：供应商、供应商资产、客户、客户资产[2]。(1)供应商：向另一个实体供应产品或服务的实体。(2)供应商资产：供应商用于生产产品或服务的有价值元素。(3)客户：消费由供应商生产的产品或服务的实体。(4)客户资产：目标拥有的有价值元素。

实体可以是个体、由个体组成的组织或组织机构，资产可以是人、软件、文档、金融、硬件等。供应链攻击是针对供应商的，且后续被用于攻击目标以访问资产。攻击目标可以是最终客户或另外的供应商。这些攻击带来的影响越来越大，如系统停机、金钱损失和声誉损害等。

供应链中一部分为供应商设置，一部分为客户设置。对于供应商而言，第一部分是“用于攻陷供应商的攻击技术”，它说明了供应商如何遭受攻击；第二部分是“供应链攻击的供应商资产”，它说明了针对供应商的攻击目标是什么。对于客户而言，第一部分是“用于攻陷客户的攻击技术”，它说明了客户如何遭受攻击；第二部分是“供应链攻击的客户资产”，它说明了针对客户的攻击目标是什么。

对于分类系统中的不同元素，我们定义了可以更好地描述供应链攻击的元素。通过筛选相应元素，可以更好地了解已知和未知的攻击情况。该分类系统在概念上不同于MITREATT&CK知识库，且它的目标并非取代而是补充后者。在某些情况下，分类系统中定义的攻击技术和MITREATT&CK框架中定义的技术相关，这种情况下用方括号的形式进行了标记，说明了分类系统的四个组成部分以及如何识别其元素[2]。

在某次攻防演习中，某公司就遭受了供应链攻击的重创。攻击者利用某信VPN、某公司的软件产品中存在的风险漏洞攻入内网系统形成攻击链路。可见这种新型的网络攻击方式得到了许多攻击者的青睐，那么加强供应链的安全性就势在必行。

与传统供应链类似，软件供应链安全问题的解决同样需要规范化的流程管理和标准。软件供应链上管理措施的缺乏和潜在的攻击面对整个信息产业的安全造成了巨大的威胁，需要有能够被信息产业内部相关企业和组织所共同遵守的业务安全守则与标准；识别和记录供应商和服务，为不同类型的供应商和服务定义风险标准，如供应商和客户依赖关系、关键软件依赖关系、单点故障；加大监控供应链风险和威胁，在产品或服务的整个生命周期内管理供应商，包括处理报废产品和组件的程序；对与供应商共享或可访问的资产和信息进行分类，并制定访问和处理这些资产和信息的相关程序[3]。

对于供应商应确保用于设计、开发、制造和交付产品、组件和服务的基础设施符合网络安全规范；实施与普遍接受的产品开发过程一致的产品开发、维护和支持过程；监控由内部和外部来源(包括使用的第三方组件)报告的安全漏洞；形成包含补丁相关信息的资产清单。

建立健全SDL安全体系也是一种去处理供应链攻击的方式，大部分公司处于初始阶段，没有任何安全建设方面的经验、文档以及工具，甚至公司高层对这方面严重忽视，摆个样子就行，这导致SDL实际落地非常困难，基本就是摆设。如果公司之前已经有相关的实施经验，那么推动起来要方便得多，SDL工程只需要在原有的基础上优化拓展就行了。目前大部分公司都有自己的安全团队，没有的可能也有相应的外包人员。日常的渗透、审计工作基本就是这部分人来完成，其实这是SDL建设的中坚力量，整个SDL工程最多、最繁杂的流程全部依靠这部分人员。

SDL建设的目的其实很明确，就是将安全手段前置，尽可能地降低产品安全风险，减少后期的维护成本。但是理想和现实总是有差距的，所以我们作为实际落地必须坚持深度防御、适度安全两条准则。SDL实施落地的流程还是依附在DevOps上，二者相辅相成，相互补充。

整个SDL流程并不复杂，复杂的是具体实施细节。任何方案都不可能满足所有的实际需求，企业还是需要根据自身的实际情况去选择落地SDL，寻找适合自己的才是最好的。对于第三方框架防治问题，可以维护自己的三方框架库，定期安全检测。扫描误报过高，大量数据筛选困难，可以建立优化整体规则库，重点关注中高危漏洞，配合工具扫描和人工筛查的方式进行，增量扫描可排除误报后无须扫描。阻挡业务正常流程，可根据实际情况，做到适参考文献度安全，有选择地对业务放行。如果业务太多，人员不够，可以针对重点项目实行SDL流程，从需求分析、设计、编码、测试、发布等形式，以工具及其他人员配合的方式促进工作的进行。解决跨部门协作困难，可以说服公司高层制定相关流程，指定专人负责，加强支撑力等。

软件供应链的风险已经严重影响了用户对软件功能的信任，对于软件生命周期中软件供应商和其他研究机构、社会团体的能力提出了更高的要求。近年来存在的软件开源化趋势，导致软件供应链的开源化，使得软件的质量难以控制，并增加了供应链的暴露程度。软件行业具有互联网特性，许多渠道的运行依赖互联网，使得这些渠道的安全受到网络攻击的威胁，在被攻击后可以成为网络攻击向供应链下游扩散的渠道，同时渠道本身也怀有恶意的可能性。除了对受影响的组织和第三方造成直接或间接利益损害外，机密信息被泄露、国家安全受到威胁后，可能引发更深层次的问题。

为更好地防护供应链攻击，除了网络安全方案与服务之外，还需要员工增强个人安全意识，把安全性评估作为开发过程中的必要评审项[4]。开发环节严格遵守开发规范，在软硬件发布前，交给独立的内部或外部测评组织进行安全性评估，及时解决所发现的问题。