随着软件产业的快速发展,现代软件大多数是被“组装”出来的,不是被“开发”出来的。各类信息系统的软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。如今软件供应链已经成为国内外对抗的焦点,直接影响关键基础设施和重要信息系统安全。
一、近期某软件供应链安全事件及原因分析
近期SonarQube软件供应链安全事件频发,充分揭露出软件开发使用第三方组件,带来了便利同时也带来了巨大的软件供应链安全风险,直接影响到各行业安全健康发展。在“无科技不软件”背景下,软件新业态对关键核心技术的依赖程度越来越高,一旦供应链某个环节出现问题,将对我国各行业的安全造成重大影响。
事件详情描述:
2021年10月,ATW黑客团伙在境外论坛第一次出售我国单位相关系统的源代码,并称能直接访问到内部系统。随后该黑客组织又陆续发布我国多家重要单位的系统源代码、用户数据、数据库,我们追踪ATW活跃记录,整理出以下时间轴:
大型企业建立自己的可信代码仓库
相对于检测工作,建立组织的可信代码仓库是一个夯实基础、意义深远、去除大量重复工作的过程,这就要求对应的自动化工具具备可信组件识别、相似漏洞分析、漏洞影响范围定位、洞悉组织资产清单、将漏洞发现和可信代码仓库识别进行整合闭环的能力。
四、相关政策
尤其是当下中美战略博弈越发复杂,国内急迫突破国外技术垄断。各单位部门也陆续出台相关政策,共同保障供应链安全工作,推进国内整个安全行业的高质量发展。
(一)《关于规范金融业开源技术应用与发展的意见》
近期中央网信办、工信部、人民银行等部门发布《关于规范金融业开源技术应用与发展的意见》,进一步规范金融机构合理应用开源技术,提高应用水平和自主可控能力。
(二)网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)
工信部网络安全管理局发布网络安全产业高质量发展的三年行动计划征求意见稿,意见稿指出,未来的网络安全行业发展目标包括技术创新和企业发展,重点任务之一是加强共性基础支撑,加快发展源代码分析、组件成分分析等软件供应链安全工具,提升网络安全产品安全开发水平。
(三)中国信通院《金融行业开源白皮书》
开源软件市场巨大,从基础软件到应用软件都充斥着大量的开源软件。受金融机构转型推动和生态合作伙伴影响,为满足金融用户的实际需求,开源技术已经逐步成为金融机构构建信息系统的重要选择。金融行业采用开源技术已经成为一种趋势,开源技术可以助力金融机构提高科技实力、协助保障信息系统安全、进一步推动企业科技创新和业务创新。
(四)公安部网络安全等级保护2.0
等保 2.0 标准首次提出安全开发流程的要求,应在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测,应在软件交付前检测其中可能存在的恶意代码,应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。
来源:鸿渐科技
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!