近年来,里程碑式的软件供应链安全事件层出不穷,其所制造的危害程度愈加严重。随着开源组件的不断增多,大量的第三方开源组件被放到软件中,导致软件供应链变得越来越复杂,安全风险也前所未有地严峻。
尤其在Log4Shell漏洞和SolarWinds Orion供应链攻击事件的进一步推动下,软件供应链安全治理与运营以及DevSecOps敏捷安全体系落地的理念得以深入人心,提高对数字化应用安全性的重视已成为行业共识。
尤其在云原生场景下,随着数字化业务转型得加速,海量的toC场景涌现出来,要求数字化应用快速上线、快速迭代。为了降低软件的开发成本和周期,研发人员必须大量地采用第三方组件,避免大量“重复造轮子”的消耗。但这不可避免地就带来全新的安全风险,开源组件的引入在加快软件研发效率的同时,也将开源安全问题引入了整个软件供应链,开源治理已经成为企业用户重点关切的难题。
如何防范下一次Log4Shell漏洞爆发?应该采用何种方法来应对云原生时代下复杂多元的软件供应链威胁?将安全嵌入至整个软件开发生命周期,需要从哪一步开始建设?到底如何选择适合自己的安全产品和服务?信息化建设程度不同的企业在DevSecOps建设上该如何侧重?这一系列用户关心的问题都亟待解答。
2022年,数据泄露事件持续高发,针对软件供应链的安全攻击事件呈快速增长态势。据业内一份报告显示,2022年针对软件供应商的网络攻击同比增长146%,其中62%的数据泄露归因于供应链安全漏洞,供应链已成为网络罪犯主要的攻击媒介。
为应对软件供应链严峻的安全形势,各国相继出台了相关的法律法规与政策标准,以保障软件供应链安全。2021 年 4 月,美国网络安全与基础设施安全局(CISA)和美国国家标准与技术院(NIST)联合发布《防御软件供应链攻击》报告,首次对软件供应链进行界定,并给出与软件供应链攻击相关的信息、关联风险以及缓解措施。
在严峻的网络安全环境下,我国对软件供应链安全也给予了高度的重视。2017 年 6 月,我国发布实施《网络产品和服务安全审查办法》,将软件产品测试、交付、技术支持过程中的供应链安全风险作为重点审查内容,并推动开展了云计算服务网络安全审查。
在 2020 年 4 月 27 日,国家互联网信息办公室等 12 个部门联合发布了《网络安全审查办法》,要求关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查,此政策的发布代表已明确将软件供应链安全带入到国内大众的视野中。
2022年11月7日,我国颁布了国家标准《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022),其中关于“软件供应链安全”部分,对网络产品和服务清单、网络安全审查、合格供应方目录、来源的稳定或多样性、知识产权、源代码安全检测、网络产品和服务风险隐患处理提出了明确要求。
例如,提供者对网络产品和服务的设计、研发、生产、交付等关键环节加强安全管理;对网络产品和服务研发、制造过程中涉及的实体拥有或控制的已知技术专利等知识产权获得10年以上授权;应自行或委托第三方网络安全服务机构对定制开发的软件进行源代码安全检测,或由供应方提供第三方网络安全服务机构出具的代码安全检测报告等。
在国家战略层面,软件供应链的竞争与保障不仅关系到企业的生存与发展,而且成为世界各国相互制约和竞争的重要手段。一些西方国家通过实行严格的技术封锁,建立完善的出口管制法律体系,并将自己的软件、硬件和技术列入《进口管制清单》,导致国际软件供应链的竞争环境加剧,软件供应链的完整性面临严峻挑战。
在国际竞争关系错综复杂、网络空间安全对抗日益加剧的新形势下,竞争的战场已不再仅是企业之间的业务竞争,而是延伸到重要领域信息技术供应链之间的竞争。针对一个软件供应商发起的攻击,能够对下游大量的企业造成行业地震式影响,进而导致国家整体安全性的下降。
2022年初,安全419推出《软件供应链安全解决方案》系列访谈,通过邀请相关安全厂商分享自身前沿观点、创新技术和最佳实践,希望为企业组织更好应对软件供应链面临的风险与挑战提供参考借鉴。
在对多家业内主流软件开发安全领域厂商的走访调研过程中,安全419观察到,IAST、SCA、RASP的产品组合形式,已经成为当前开发安全领域应对应用安全风险的最主流方案。
随着运行时智能插桩、应用威胁情境感知和API智能检测响应等关键技术的创新与突破,以IAST和RASP为核心的代码疫苗技术迎来了蓬勃发展期。尤其通过单探针的形式,代码疫苗技术不仅能在测试环境中实现应用风险检测以及API挖掘和覆盖分析,还能赋能数字化应用实现攻击威胁的出厂免疫以并提供运行时敏感数据追踪等关键能力,实现检测响应一体化,支持软件供应链攻击防御、0DAY未知漏洞攻击防御、应用东西向威胁流量检测响应、无文件攻击检测响应、漏洞攻击全链路回溯及API威胁免疫等复杂应用场景。
SCA软件成分分析是一种对二进制软件的组成部分进行识别、分析和追踪的技术。SCA可以生成完整的SBOM清单,分析开发人员所使用的各种源码、模块、框架和库,以识别和清点开源软件(OSS)的组件及其构成和依赖关系,并精准识别系统中存在的已知安全漏洞或者潜在的许可证授权问题,把这些安全风险排除在软件的发布上线之前,也适用于软件运行中的诊断分析。
通过使用基于多源SCA开源应用安全缺陷检测技术的安全审查工具,可以精准识别应用开发过程中,软件开发人员有意或违规引用的开源第三方组件,并通过对应用组成进行分析,多维度提取开源组件特征,计算组件指纹信息,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。
通过对多家安全厂商相关产品/解决方案与业务情况的走访调研,基于自身的理解,从技术创新、应用实践、客户评价、行业口碑等多个维度择优推荐其中具有代表性的部分优秀厂商,最终推荐给各行业用户重点关注,为企业用户加强安全建设提供一定的参考。
PS:
以下推荐不涉及排名先后,按公司名称首字母排序
悬镜安全
企
业
介
绍
悬镜安全,DevSecOps敏捷安全领导者。起源于北京大学网络安全技术研究团队“XMIRROR”,创始人子芽。悬镜专注于以代码疫苗技术为内核,坚守PLG产品创新驱动价值增长的商业理念,通过原创专利级“全流程软件供应链安全赋能平台+敏捷安全工具链”的第三代DevSecOps智适应威胁管理体系,持续赋能从威胁建模、开源治理、风险发现、积极防御到安全度量等DevSecOps全流程的各关键环节,在DevSecOps、软件供应链安全、云原生安全三大典型应用场景下,持续帮助金融、泛互联网、车联网、智能制造、能源及运营商等行业数千家标杆用户构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。
编辑推荐理由
作为DevSecOps敏捷安全领域的头部厂商,悬镜安全通过第三代DevSecOps智适应管理体系,正持续帮助金融、车联网、泛互联网、能源等行业用户构筑起与自身相适配的内生积极防御体系。“单探针”是悬镜安全的一大创新举措。悬镜将运行时应用风险检测技术IAST和运行时应用风险防御技术RASP通过单探针进行了深度整合。基于运行时的单探针,既能够在开发测试环节里通过IAST对应用安全风险进行检测,又能够在部署和运营环节通过RASP实现应用风险自免疫。利用单探针的深度融合,代码疫苗技术不仅能在开发测试环节进行交互式的应用安全风险审查,还能够发现数字化应用自身API的安全风险和缺陷,更有效地解决运行时API中敏感数据流动的追踪问题,基于动态插桩技术在应用内部梳理API相关的函数调用,最终实现API层面的安全防护。
相关报道
酷德啄木鸟
企
业
介
绍
北京酷德啄木鸟信息技术有限公司专注于软件安全开发及软件供应链安全技术,自 2013 年起探寻用前所未有的创新与新一代信息技术,协助成就商业和社会进步得更多可能。多年来为近百家客户带去了敏捷开发的安全保障与服务。潜心商业发展历程,深入剖析不同行业高信息化、智能化带来的安全隐患,有针对性地提出安全开发测试解决方案,酷德将静态代码分析技术与应用开发自动化工作流中涉及的安全方式相结合,以提供应用在运行时的防护能力,相比于传统防护方式可能带来的漏洞误报率高、人工介入周期长等缺点,酷德解决方案更为准确、稳定高效、全面,帮助企业实现有效的 DevSecOps。酷德啄木鸟始终坚持以创新能力带动技术升级,切实关注市场政策动向以及用户痛点。利用安全领域高精尖技术,打造专业、小而美的技术成熟型企业。
编辑推荐理由
酷德啄木鸟是一家长期专注于开发安全领域的厂商,在这一领域已经砥砺近10年。经过多年积累,酷德啄木鸟在DevSecOps全系工具链的产品布局方面已经趋于完备,其主要以SAST源代码缺陷分析系统和SCA软件成分分析系统为核心产品,此外也完善了IAST交互式测试系统、DAST动态检测工具以及RASP应用自保护系统等开发安全工具链,能够实现为用户提供完善且覆盖完整开发生命周期的安全解决方案。得益于多年的行业深耕,相较于国内诸多该领域的新兴厂商,酷德啄木鸟的主要优势主要体现在内功层面,尤其是其CodePecker源代码缺陷分析系统(SAST)产品,当前已进化到7.0版本,具有覆盖编程语言广、覆盖缺陷类型全、检测效率高等特点。其SCA软件成分分析系统在准确性、扫描效率、覆盖范围等方面同样具备较强优势。
相关报道
默安科技
企
业
介
绍
默安科技成立于2016年4月,总部位于浙江杭州。作为一家云计算时代的新兴网络安全公司,默安科技提供的整体解决方案贯穿左移开发安全(DevSecOps)与智慧运营安全(AISecOps)两大环节,帮助客户构建基于云的下一代安全防护体系,实现安全风险全生命周期管理。公司秉承可持续安全运营理念,注重实际运行效果,致力于成为客户值得信赖的安全伙伴。目前,默安科技已在北京、上海、广州、深圳以及其他二十余个省份建立营销与服务网络,形成研发、营销与服务覆盖全国的战略布局。经过多年发展,默安科技的产品与服务已成功应用于政府、金融、能源、运营商、交通、教育、制造、IT、互联网等众多领域,累计为上千家政企单位提供网络安全保障。
编辑推荐理由
默安科技是国内首批开辟开发安全业务的安全厂商,在软件供应链安全方面有很深的积累实践。从最初的开发安全体系咨询,到建设完整的开发安全工具链,积累了大批的项目建设经验,再到参加国家行业相关标准的制定和试点推广,将开发安全建设延展到供应链安全治理,研发软件供应链风险评估平台,并且依托阶段性的标准化建设成果,在关基单位进行落地实践,最终拉动产业和监管逐步勾勒出了默安科技独创的软件供应链安全管理的体系架构和实现路径。目前默安科技已经积累包括在政府机构、数字化转型单位以及大型集团企业在内的大量软件供应链安全建设案例,为各类行业用户提供软件供应链安全解决方案。
相关报道
孝道科技
企
业
介
绍
安全玻璃盒是国家高新技术企业,总部位于杭州,致力于为用户提供软件供应链安全解决方案,是国内软件供应链安全领航者。拥有70余项自主知识产权,掌握全球领先的AI智能动态污点分析、大数据人工神经网络以及二进制代码片段分析与验证等创新安全技术。专业为用户定制和落地软件供应链安全、DevSecOps、上线即安全及免疫防御解决方案,让每个用户都能轻松交付安全的产品。业务覆盖金融、政府、运营商、企业等领域的数百家用户,包括兴业银行、广东省农信社、浙江省医保局、中国移动、中国联通、国家电网、物产集团、大华股份等Top级典型用户。以DevSecOps技术创新和独具示范性的优势成为IDC中国DevSecOps技术创新者。
编辑推荐理由
面对不同用户的差异化特点以及需求,孝道科技同样选择了单探针的技术路径,有机地将旗下产品IAST、SCA以及RASP进行深度的耦合以及智能协同,并以平台的形式交付给用户。借助于深度融合的优势,在测试过程中遗留下来的包括应用程序的输入输出、执行指纹等数据,可以保留到应用的运行阶段,为RASP提供更为精准的防御算法。特别值得一提的是,在借助IAST所提供的数据进一步提高防护精度的同时,还能实现补强IAST。因此,相比业内散装的工具式解决方案,孝道科技的新一代数字化应用安全平台在能力上还是在易用性上,都有显著提升,更有效保障用户的应用从开发到上线整个周期的安全。
相关报道
海云安
企
业
介
绍
深圳海云安网络安全技术有限公司成立于2015年,是一家专注于新技术应用安全领域的创新型国家高新技术企业。公司以“安全每一行代码”为己任,致力于“可信应用,主动防御”,系列应用安全产品研发推广,长期为金融、政府、企事业单位提供安全开发、APP安全、数据安全和安全管理中心等全面安全服务解决方案。海云安将坚决落实习总书记关于“没有网络安全就没有国家安全”的最高指示,做好各项基础性工作,不断创新完善,努力把网络安全工作落到实处、做扎实,为维护国家网络安全作出贡献。
编辑推荐理由
海云安成立于2015年,致力于在应用系统、应用程序的开发、交付和使用过程中为企业客户解决隐私合规、代码安全、数据安全、业务安全等多方面的网络安全问题。基于人工智能技术,结合可信计算理念,海云安打造了自主智安全基HAISec,研发了一系列安全开发运营DevSecOps产品工具,包括国内领先的源码安全分析平台、灰盒、黑盒、开源组件安全检测产品等,可全面深度评估WEB/APP/大数据/云平台/工业工控应用系统的安全风险和隐私数据合规能力,实现风险漏洞全生命周期闭环管理。形成了面向安全开发与安全运营的全流程智适应安全管控平台,可实现安全开发与运营的全面风险管控。
相关报道
✦
推荐阅读
✦
粉丝福利群开放啦
加安全419好友进群
红包/书籍/礼品等不定期派送
原文始发于微信公众号(安全419):《安全419 编辑推荐 2022年度细分赛道优秀企业》软件供应链安全篇
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论