蘇俐竹，徐雷，郭新海，張曼君，丁攀（中國(guó)聯(lián)通研究院，北京 100048）

1 國(guó)內(nèi)外軟件供應(yīng)鏈安全現(xiàn)狀

2019 年，新型冠狀病毒的肆虐從根本上改變了人們的生活和工作方式，在疫情狀況下，軟件供應(yīng)鏈的安全越來(lái)越引起人們的關(guān)注。雖然國(guó)際社會(huì)已經(jīng)加強(qiáng)軟件供應(yīng)鏈的安全性管理，但為了更好地應(yīng)對(duì)軟件供應(yīng)鏈的安全風(fēng)險(xiǎn)，研究者還需詳細(xì)了解軟件供應(yīng)鏈的背景和發(fā)展，為更好地發(fā)展軟件供應(yīng)鏈安全做出更大的貢獻(xiàn)。

1.1 國(guó)際軟件供應(yīng)鏈安全發(fā)展現(xiàn)狀

自軟件供應(yīng)鏈的概念提出以來(lái)，國(guó)際社會(huì)對(duì)軟件供應(yīng)鏈的安全性給予了高度重視。

在國(guó)家層面，出于對(duì)軟件供應(yīng)鏈的安全性和脆弱性的擔(dān)憂，多年前多國(guó)便開(kāi)始規(guī)劃國(guó)家軟件供應(yīng)鏈的安全策略，出臺(tái)了一系列相關(guān)政策和重點(diǎn)項(xiàng)目，以便加強(qiáng)軟件供應(yīng)鏈的安全控制。

從企業(yè)層面，開(kāi)源軟件作為軟件供應(yīng)鏈中最重要的部分，世界上許多知名企業(yè)都在加大對(duì)軟件供應(yīng)鏈的安全風(fēng)險(xiǎn)管理，并利用開(kāi)源軟件的軟件構(gòu)件分析技術(shù)，確保第三方開(kāi)源構(gòu)件的安全。

1.2 國(guó)內(nèi)軟件供應(yīng)鏈安全發(fā)展現(xiàn)狀

隨著網(wǎng)絡(luò)安全形勢(shì)的發(fā)展，我國(guó)高度重視軟件供應(yīng)鏈安全。2017年6月，中國(guó)發(fā)布并實(shí)施了《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法》，確保軟件產(chǎn)品測(cè)試、交付和技術(shù)支持過(guò)程中供應(yīng)鏈的安全，并作為重點(diǎn)審查內(nèi)容。2020年4月27日，國(guó)家互聯(lián)網(wǎng)信息辦公室等12個(gè)部門(mén)聯(lián)合發(fā)布《網(wǎng)絡(luò)安全審查辦法》，要求重點(diǎn)信息基礎(chǔ)設(shè)施運(yùn)營(yíng)商在購(gòu)買(mǎi)網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)，如若可能影響國(guó)家安全，應(yīng)進(jìn)行網(wǎng)絡(luò)安全審查。該政策的發(fā)布代表明確地將軟件供應(yīng)鏈安全納入了國(guó)內(nèi)公眾的視野。

在企業(yè)層面，中國(guó)領(lǐng)先的互聯(lián)網(wǎng)企業(yè)和安全制造商已經(jīng)開(kāi)始投資軟件供應(yīng)鏈的安全建設(shè)，重點(diǎn)確保軟件供應(yīng)鏈的安全，并充分發(fā)揮創(chuàng)新技術(shù)在軟件供應(yīng)鏈網(wǎng)絡(luò)安全保障中的作用，增加軟硬件安全檢測(cè)分析、攻擊和反滲透、源代碼安全審計(jì)、漏洞挖掘、大數(shù)據(jù)分析等技術(shù)，有效保障軟件供應(yīng)鏈的安全，構(gòu)建動(dòng)態(tài)安全防護(hù)體系。

1.3 軟件供應(yīng)鏈的安全挑戰(zhàn)

1.3.1 國(guó)際競(jìng)爭(zhēng)加劇，軟件供應(yīng)鏈完整性受到挑戰(zhàn)

軟件供應(yīng)鏈的競(jìng)爭(zhēng)與保障不僅關(guān)系到企業(yè)的生存與發(fā)展，而且成為世界各國(guó)相互制約和競(jìng)爭(zhēng)的重要手段。一些西方國(guó)家通過(guò)實(shí)行嚴(yán)格的技術(shù)封鎖，建立完善的出口管制法律體系，并將自己的軟件、硬件和技術(shù)列入《進(jìn)口管制清單》，導(dǎo)致國(guó)際軟件供應(yīng)鏈的競(jìng)爭(zhēng)環(huán)境加劇，軟件供應(yīng)鏈的完整性面臨嚴(yán)峻挑戰(zhàn)。同時(shí)，需要制定軟件供應(yīng)鏈戰(zhàn)略規(guī)劃，確保我國(guó)軟件供應(yīng)鏈的自主性、可控性和安全性。

1.3.2 軟件開(kāi)源趨勢(shì)增強(qiáng)，安全風(fēng)險(xiǎn)加劇

開(kāi)源作為創(chuàng)新的基礎(chǔ)，不斷推動(dòng)著信息技術(shù)的深度創(chuàng)新發(fā)展，隨著開(kāi)源軟件的復(fù)雜性增高，其出現(xiàn)安全事件的概率會(huì)呈現(xiàn)指數(shù)級(jí)增長(zhǎng)。一旦出現(xiàn)安全問(wèn)題，將會(huì)產(chǎn)生蝴蝶效應(yīng)，軟件供應(yīng)鏈會(huì)產(chǎn)生非常嚴(yán)重的影響。例如，一個(gè)開(kāi)放源代碼軟件具有未知的安全漏洞，它將導(dǎo)致所有具有相關(guān)依賴關(guān)系的軟件系統(tǒng)中存在相同的漏洞，并且漏洞攻擊面將顯示從點(diǎn)到面的爆炸性放大效應(yīng)。

2021年，Sonatype發(fā)布了“2021軟件供應(yīng)鏈狀況報(bào)告”。報(bào)告數(shù)據(jù)顯示，開(kāi)源供應(yīng)、需求和安全漏洞都呈現(xiàn)“爆炸性”增長(zhǎng)。其中，開(kāi)源供應(yīng)增加了20%，開(kāi)源需求增加了73%，開(kāi)源攻擊激增了650%。開(kāi)源安全和依賴管理在“2021軟件供應(yīng)鏈”中占據(jù)主導(dǎo)地位。

1.3.3 開(kāi)源漏洞在流行項(xiàng)目中普遍存在

據(jù)統(tǒng)計(jì)，29%的流行開(kāi)源項(xiàng)目至少包含一個(gè)已知的安全漏洞，只有6.5%的非熱門(mén)項(xiàng)目未包含已知漏洞。從臭名昭著的2017 年Equifax Struts 事件可以看出，因?yàn)殚_(kāi)源漏洞在發(fā)布后沒(méi)有修補(bǔ)，導(dǎo)致此事件利用公開(kāi)披露的開(kāi)源漏洞進(jìn)行攻擊。在下一代軟件供應(yīng)鏈攻擊行為中更為險(xiǎn)惡的是，黑客不再用公開(kāi)披露的漏洞來(lái)進(jìn)行攻擊。相反，他們采取主動(dòng)，將新的漏洞注入到為全球供應(yīng)鏈提供支持的開(kāi)源項(xiàng)目中，然后利用這些漏洞進(jìn)行攻擊。下一代軟件供應(yīng)鏈攻擊趨勢(shì)如圖1所示。

圖1 下一代軟件供應(yīng)鏈攻擊趨勢(shì)（2015—2021）

2 國(guó)際軟件供應(yīng)鏈監(jiān)管和標(biāo)準(zhǔn)

2.1 美國(guó)

在2021年，美國(guó)聯(lián)邦政府針對(duì)軟件供應(yīng)鏈采取以下行動(dòng)。

2021 年2 月，拜登總統(tǒng)發(fā)布行政命令（EO），列出所有供應(yīng)鏈（包括軟件）的安全條例。同年2 月份，國(guó)防部首席信息官（DoD CIO）推出了零信任參考體系架構(gòu)（ZTA），此架構(gòu)概述了各種零信任支柱和功能，包括保護(hù)應(yīng)用程序和軟件供應(yīng)鏈安全。

2021 年4 月，美國(guó)開(kāi)始正式制定軟件供應(yīng)鏈標(biāo)準(zhǔn)（CISA），國(guó)家研究所標(biāo)準(zhǔn)和技術(shù)（NIST）發(fā)布論文《防御軟件供應(yīng)連鎖攻擊》。這2 個(gè)文件強(qiáng)調(diào)了軟件供應(yīng)鏈攻擊受損對(duì)政府、關(guān)鍵基礎(chǔ)設(shè)施和私營(yíng)部門(mén)軟件客戶的廣泛影響。

2021 年5 月，拜登簽署了第2 份軟件供應(yīng)鏈行政命令，這一次是對(duì)國(guó)家網(wǎng)絡(luò)安全態(tài)勢(shì)的批判性審視。EO 中“關(guān)于改善國(guó)家網(wǎng)絡(luò)安全”的條例是美國(guó)政府關(guān)于軟件供應(yīng)鏈安全的一個(gè)里程碑。此外，EO制定了一個(gè)詳細(xì)的計(jì)劃，以采取措施保護(hù)聯(lián)邦軟件。

2021 年7 月，NIST 發(fā)布了概述指南《關(guān)鍵軟件使用安全措施》。同年7 月份，國(guó)家電信信息管理局（NTIA）發(fā)布了SBOM 的最低定義，這是一個(gè)提高軟件透明度的關(guān)鍵步驟。

2.2 英國(guó)

2021年5月，英國(guó)政府宣布正在尋求“關(guān)于防范數(shù)字技術(shù)的建議”，因?yàn)楣?yīng)鏈相互關(guān)聯(lián)，供應(yīng)商的漏洞產(chǎn)品和服務(wù)逐漸增多，成為更吸引攻擊者的目標(biāo)。同年5月，英國(guó)數(shù)字、文化部，媒體和體育部（DCMS）開(kāi)展了一項(xiàng)調(diào)查，并邀請(qǐng)行業(yè)專(zhuān)家和技術(shù)組織在英國(guó)各地加強(qiáng)供應(yīng)鏈安全。該倡議表明英國(guó)越來(lái)越重視保護(hù)數(shù)字供應(yīng)鏈安全。

2.3 德國(guó)

2021 年5 月，德國(guó)通過(guò)了《信息技術(shù)安全法案2.0》。作為第1 部法案的更新，該法案影響到德國(guó)IT行業(yè)許多領(lǐng)域，但它明確規(guī)定，供應(yīng)商，即關(guān)鍵組件制造商，也將承擔(dān)一定的義務(wù)，以保護(hù)整個(gè)供應(yīng)鏈安全。

3 軟件供應(yīng)鏈安全管理建議

軟件供應(yīng)鏈的安全管理是一項(xiàng)系統(tǒng)工程，需要從國(guó)家和行業(yè)2個(gè)層面入手。各級(jí)機(jī)構(gòu)和企業(yè)應(yīng)及時(shí)建立發(fā)現(xiàn)、分析、處理和保護(hù)軟件供應(yīng)鏈安全風(fēng)險(xiǎn)的能力，并從整體上改進(jìn)軟件供應(yīng)鏈安全管理水平。因此，有必要對(duì)軟件供應(yīng)鏈安全檢測(cè)與防御的方法和技術(shù)進(jìn)行全方位地研究，確保ICT 供應(yīng)的完整性和ICT產(chǎn)品的供應(yīng)鏈安全，防止惡意ICT 擴(kuò)散工具和技術(shù)以及有害隱藏功能的使用?，F(xiàn)今，全球ICT 供應(yīng)鏈日益復(fù)雜并相互依存，其中確保完整性、穩(wěn)定性和供應(yīng)鏈安全可以從以下幾方面入手。

第一，開(kāi)展軟件構(gòu)件動(dòng)態(tài)分析和開(kāi)源應(yīng)用缺陷智能檢測(cè)技術(shù)研究，突破高效準(zhǔn)確的開(kāi)源應(yīng)用安全缺陷檢測(cè)狀態(tài)檢測(cè)技術(shù)的瓶頸，解決基于全代碼遍歷和代碼片段級(jí)克隆技術(shù)，以提升應(yīng)用程序安全檢測(cè)問(wèn)題，并進(jìn)一步實(shí)現(xiàn)全球開(kāi)源應(yīng)用程序的全面安全檢查，從源頭上阻斷軟件供應(yīng)鏈的安全風(fēng)險(xiǎn)。

第二，在全球范圍內(nèi)推廣開(kāi)源應(yīng)用程序安全意識(shí)和預(yù)警機(jī)制，攻克軟件供應(yīng)鏈中軟件源的多態(tài)跟蹤技術(shù)，實(shí)現(xiàn)供應(yīng)鏈各個(gè)環(huán)節(jié)中軟件源的可追溯性。在國(guó)家一級(jí)實(shí)施全面、透明、客觀和公正的框架和機(jī)制以保證供應(yīng)鏈風(fēng)險(xiǎn)管理。通過(guò)軟件源多態(tài)性跟蹤技術(shù)監(jiān)控，和開(kāi)源應(yīng)用的使用、傳播和分布式部署，通過(guò)通信和使用渠道全面掌握有缺陷的開(kāi)源應(yīng)用，可以實(shí)現(xiàn)對(duì)全球開(kāi)源應(yīng)用及其安全缺陷的預(yù)測(cè)和預(yù)警。

第三，制定政策和方案。需要更多關(guān)注國(guó)家政策，并與各國(guó)和相關(guān)國(guó)家進(jìn)行對(duì)話。確保所有國(guó)家都能平等競(jìng)爭(zhēng)創(chuàng)新，使ICT 安全與全面實(shí)現(xiàn)全球社會(huì)經(jīng)濟(jì)發(fā)展相輔相成，有助于維護(hù)國(guó)際和平與安全，同時(shí)也保障國(guó)家安全和公共利益。

第四，建立國(guó)家/行業(yè)軟件供應(yīng)鏈安全監(jiān)控平臺(tái)，配備系統(tǒng)化、規(guī)?；能浖创a缺陷檢測(cè)，和異常行為代碼分析、軟件漏洞分析、開(kāi)源軟件組件風(fēng)險(xiǎn)分析和其他關(guān)鍵功能。為關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)的用戶提供日常自檢服務(wù)，及時(shí)發(fā)現(xiàn)并處理軟件供應(yīng)鏈安全風(fēng)險(xiǎn)。

第五，嚴(yán)格控制軟件供應(yīng)鏈的上游，特別是開(kāi)源應(yīng)用程序的使用，推動(dòng)區(qū)塊鏈等新技術(shù)在軟件供應(yīng)鏈安全領(lǐng)域的推廣應(yīng)用，利用區(qū)塊鏈的安全信任機(jī)制從根本上提高軟件供應(yīng)鏈安全的可靠保障。

4 展望

軟件供應(yīng)鏈逐漸開(kāi)源化對(duì)整個(gè)軟件供應(yīng)鏈的各個(gè)環(huán)節(jié)都產(chǎn)生了不可避免的影響，尤其是開(kāi)源應(yīng)用程序的安全性，將直接影響使用。開(kāi)源應(yīng)用程序中的眾多安全問(wèn)題極大地增加了軟件供應(yīng)鏈中的安全風(fēng)險(xiǎn)，以及安全狀況。

隨著人工智能和自動(dòng)化惡意攻擊技術(shù)的不斷升級(jí)，專(zhuān)門(mén)針對(duì)軟件供應(yīng)鏈的攻擊趨勢(shì)顯著加強(qiáng)。軟件供應(yīng)鏈安全已成為網(wǎng)絡(luò)空間攻防對(duì)抗的焦點(diǎn)，并且直接影響到關(guān)鍵基礎(chǔ)設(shè)施和數(shù)字經(jīng)濟(jì)的安全。過(guò)去2年中，受疫情的影響，人們的生活和工作方式，以及商業(yè)實(shí)體和數(shù)字供應(yīng)鏈的運(yùn)作方式都發(fā)生了根本性的變化。今天，當(dāng)數(shù)字創(chuàng)新推動(dòng)經(jīng)濟(jì)發(fā)展時(shí)，如果企業(yè)和開(kāi)發(fā)商希望避免由使用軟件供應(yīng)鏈帶來(lái)的網(wǎng)絡(luò)攻擊，或者希望為軟件供應(yīng)鏈管理帶來(lái)一些創(chuàng)新，那就要思考如何從技術(shù)創(chuàng)新的角度，為產(chǎn)業(yè)搭建一個(gè)匯集“國(guó)家、行業(yè)、機(jī)構(gòu)、企業(yè)”等綜合力量，且“同向、同心”的軟件供應(yīng)鏈安全保障生態(tài)體系。