软件作为信息技术的核心,是数字经济发展的基石。然而,软件供应链环节关系复杂,安全威胁日益突出,软件供应链的各个阶段都可能存在安全风险。例如,在开发阶段,开发人员编写的代码和实现的功能可能存在诸如SQL注入、缓冲区溢出等问题,甚至可能引入恶意的第三方组件。在供应阶段,软件可能遭遇供应链投毒或篡改攻击等威胁。而在运维阶段,已知漏洞利用攻击以及依赖污染等问题也可能导致软件供应链安全风险。
出于知识产权保护的原因,软件往往呈现“黑盒”状态,这种情况导致软件供应链的透明度和可追溯性不足,增加了供需双方在建立信任方面的难度,需方在选择和信任第三方软件时面临着较为严峻的挑战。
针对上述问题,公安部第三研究所等保中心(以下简称“等保中心”)牵头编制了《应用软件供应链安全技术规范》,系统地提出了保障软件供应链安全的技术和管理要求,为供应链各方提供一套完整的安全准则和测试方法。
《应用软件供应链安全技术规范》从开发、供应、运维三个阶段出发,提出了具体的保护要求和评价方法,内容包含:代码安全、软件成分安全、功能安全、开发安全、配置安全、制品安全、交付安全、数据安全、运维安全。根据软件在供应链安全防护的必要性、全面性和合理性,结合目前市场发展的现状制定了基本级和增强级指标,用于软件产品安全基本级和增强级的检测评估。
等保中心在软件供应链安全检测评估时,会根据《应用软件供应链安全技术规范》相关要求和检测方法,使用多种安全检测工具,结合代码审计、渗透测试、软件成分分析及人工核查等手段,对软件在供应链各个环节的潜在安全风险进行全面识别。
为保障《应用软件供应链安全技术规范》的科学性、合理性和实用性,等保中心组织开展了软件供应链安全检测评估工作。通过衡量各类软件产品的供应链安全水平,发现了多方面的软件供应链安全风险问题,验证了《应用软件供应链安全技术规范》的有效性。截止到目前,部分软件产品已通过了检测评估,检测评估证书可通过公安部网络安全等级保护评估中心官网(https://www.cspec.org.cn)进行查询。
此外,北京国信网联科技有限公司、北京云起无垠科技有限公司、北京鼎兴达信息科技股份有限公司、思客云(北京)软件技术有限公司、奇安信网神信息技术(北京)股份有限公司、杭州迪普科技股份有限公司、杭州孝道科技有限公司、北京骅远科技有限公司、中电信数智科技(深圳)有限公司等企业的软件产品/工具也在积极进行检测中,后续将陆续公布检测评估结果。该标准为需方在采购软件产品时提供了明确的供应链安全评估框架,通过软件产品供应链安全检测,可以有效降低软件产品的供应链安全风险,减少在软件采购过程中因引入不安全产品而带来的风险。
等保中心将持续深化软件供应链安全检测评估工作,不断优化检测流程和评估机制,诚挚邀请广大企业加入,携手打造一个更加稳固、可靠的软件供应链生态。
技术咨询交流:张老师,18600296253
敬请期待:
供应链安全检测系列技术规范介绍之三|静态应用安全测试
内容回顾:
关注我们
原文始发于微信公众号(公安部网络安全等级保护中心):供应链安全检测系列技术规范介绍之二|应用软件供应链安全
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论