軟件供應(yīng)鏈攻擊已呈三位數(shù)增長(zhǎng)，但很少有組織采取措施評(píng)估這些復(fù)雜攻擊的風(fēng)險(xiǎn)。這項(xiàng)研究提供了安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者可以用來檢測(cè)和預(yù)防攻擊并保護(hù)其組織的三種實(shí)踐。

主要發(fā)現(xiàn)

• 盡管軟件供應(yīng)鏈攻擊急劇增加，但安全評(píng)估并未作為供應(yīng)商風(fēng)險(xiǎn)管理或采購活動(dòng)的一部分進(jìn)行。這使得組織容易受到攻擊。

• 安全團(tuán)隊(duì)很難應(yīng)對(duì)漏洞，尤其是當(dāng)該漏洞包含在軟件依賴項(xiàng)中時(shí)。由于軟件組件傳統(tǒng)上并未公開，因此對(duì)于試圖確定它們是否受到影響的團(tuán)隊(duì)來說，它們的內(nèi)容通常是不透明的。這需要非凡的工作來識(shí)別受影響的軟件并實(shí)施風(fēng)險(xiǎn)緩解措施。

• 客戶很少對(duì)商業(yè)軟件的潛在漏洞或惡意代碼進(jìn)行正式測(cè)試和評(píng)估——即使對(duì)于支持高價(jià)值或敏感流程的系統(tǒng)也是如此。缺乏正式的測(cè)試創(chuàng)造了橫向移動(dòng)的途徑，并促進(jìn)了竊取數(shù)據(jù)和知識(shí)產(chǎn)權(quán)的惡意代碼的引入。

建議

安全和風(fēng)險(xiǎn)管理 (SRM) 領(lǐng)導(dǎo)者在解決內(nèi)部應(yīng)用程序開發(fā)中的供應(yīng)鏈問題方面獲得了專業(yè)知識(shí)。他們可以通過幫助其組織進(jìn)行以下三種實(shí)踐來利用這些知識(shí)：

• 將軟件供應(yīng)鏈風(fēng)險(xiǎn)添加到供應(yīng)商風(fēng)險(xiǎn)管理中，并對(duì)擔(dān)任軟件采購角色的同事進(jìn)行有關(guān)這些攻擊的風(fēng)險(xiǎn)的教育。該策略旨在取消或減少對(duì)應(yīng)用程序安全實(shí)踐不足的供應(yīng)商的依賴。

• 要求供應(yīng)商的應(yīng)用程序安全實(shí)踐以及這些供應(yīng)商的軟件的組成和內(nèi)容具有透明度。這樣做有助于供應(yīng)商風(fēng)險(xiǎn)評(píng)估并簡(jiǎn)化對(duì)漏洞的響應(yīng)和緩解。

• 對(duì)支持高價(jià)值或敏感系統(tǒng)的軟件實(shí)施專門的測(cè)試和安全評(píng)估。測(cè)試范圍應(yīng)涵蓋傳統(tǒng)的軟件漏洞檢查和惡意代碼識(shí)別。

戰(zhàn)略規(guī)劃假設(shè)

到 2026 年，至少 60% 采購關(guān)鍵任務(wù)軟件解決方案的組織將要求在其許可和支持協(xié)議中披露軟件物料清單 (SBOM)?，而 2022 年這一比例還不到 5%?。

介紹

在截至 2023 年 4 月的 12 個(gè)月內(nèi)，近三分之二 (61%) 的美國(guó)企業(yè)直接受到軟件供應(yīng)鏈攻擊的影響。Gartner 和其他研究表明，軟件供應(yīng)鏈攻擊是一項(xiàng)持續(xù)急劇增長(zhǎng)的全球挑戰(zhàn)。盡管如此，主動(dòng)識(shí)別、評(píng)估和減輕軟件供應(yīng)鏈風(fēng)險(xiǎn)的努力相對(duì)較少。在 Sonatype 第九次年度軟件供應(yīng)鏈狀況報(bào)告中，只有 7% 的受訪者努力審查其供應(yīng)鏈中的安全風(fēng)險(xiǎn)。

確保軟件供應(yīng)鏈的完整性也已成為監(jiān)管和合規(guī)要求。2021 年 5 月發(fā)布的美國(guó)第 14028 號(hào)行政命令受到了相當(dāng)多的關(guān)注。然而，對(duì)該命令的關(guān)注掩蓋了其他重要行動(dòng)。美國(guó)食品和藥物管理局已頒布法規(guī)，對(duì)醫(yī)療器械制造商提出供應(yīng)鏈要求。美國(guó)安全交易委員會(huì)發(fā)布了一系列針對(duì)網(wǎng)絡(luò)安全事件的規(guī)則，有望進(jìn)一步提高供應(yīng)鏈安全。

從全球角度來看，聯(lián)合國(guó)機(jī)構(gòu)制定了網(wǎng)絡(luò)安全要求，包括聯(lián)網(wǎng)車輛的軟件安全。多個(gè)國(guó)家/地區(qū)的主管部門已發(fā)布或提議加強(qiáng)軟件供應(yīng)鏈安全的法規(guī)。

全球軟件供應(yīng)鏈缺乏透明度和信任已成為各類組織面臨的一個(gè)關(guān)鍵問題。無論是出于防止攻擊的愿望還是出于監(jiān)管要求（或兩者兼而有之），安全和風(fēng)險(xiǎn)管理 (SRM) 領(lǐng)導(dǎo)者都必須積極主動(dòng)地采取行動(dòng)，以建立彈性并應(yīng)對(duì)日益增長(zhǎng)的威脅。

這項(xiàng)研究為 SRM 領(lǐng)導(dǎo)者提供了有關(guān)實(shí)踐的指導(dǎo)，有助于保護(hù)其組織免受商業(yè)軟件中的軟件供應(yīng)鏈攻擊。它包括在供應(yīng)商風(fēng)險(xiǎn)管理的討論中添加軟件供應(yīng)鏈考慮因素，要求商業(yè)軟件內(nèi)容的透明度以及使用軟件物料清單（SBOM）作為主動(dòng)評(píng)估軟件產(chǎn)品的基礎(chǔ)。

分析

將軟件供應(yīng)鏈安全添加到供應(yīng)商風(fēng)險(xiǎn)管理中

典型的外部第三方風(fēng)險(xiǎn)管理 (TPRM) 評(píng)估（例如安全記分卡、Bitsight 和 Black Kite）支持供應(yīng)商風(fēng)險(xiǎn)管理的總體框架。然而，這些評(píng)估通常不會(huì)對(duì)供應(yīng)商的應(yīng)用程序或軟件供應(yīng)鏈安全措施進(jìn)行深入審查。因此，他們無法支持對(duì)這些流程的安全性或風(fēng)險(xiǎn)進(jìn)行明智的評(píng)估。TPRM 供應(yīng)商提供的信息可以提供高級(jí)見解，這些見解可能表明供應(yīng)商供應(yīng)鏈安全的潛在問題。然而，他們沒有提供足夠的信息來形成對(duì)供應(yīng)商可能造成的風(fēng)險(xiǎn)的完整意見。圖 1概述了供應(yīng)商風(fēng)險(xiǎn)管理生命周期和通?？紤]的因素。

管理風(fēng)險(xiǎn)的一種更好的方法是直接請(qǐng)求和評(píng)估適當(dāng)?shù)陌踩浖_發(fā)實(shí)踐的證明（或其他證據(jù)）。供應(yīng)商越來越期望在采購過程中出現(xiàn)此類問題。Checkmarx 的一項(xiàng)調(diào)查顯示，42% 的受訪供應(yīng)商衡量應(yīng)用程序安全性并公開發(fā)布報(bào)告，而 44% 的供應(yīng)商表示他們根據(jù)要求提供此類報(bào)告。此類做法應(yīng)成為常規(guī)做法。

供應(yīng)商無法或不愿意滿足有關(guān)安全軟件開發(fā)實(shí)踐的證明或信息的請(qǐng)求是一個(gè)不利的風(fēng)險(xiǎn)信號(hào)，應(yīng)被取消資格。

圖 1：傳統(tǒng)供應(yīng)商風(fēng)險(xiǎn)管理生命周期框架

當(dāng)向供應(yīng)商詢問他們的實(shí)踐時(shí)，組織應(yīng)該依賴詳細(xì)介紹最佳實(shí)踐的新興框架。最好的例子是安全軟件開發(fā)框架 (SSDF)，由美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所 (NIST) 作為特別出版物800-218編寫。SSDF 是根據(jù)美國(guó)總統(tǒng)行政命令 14028 制定的。雖然該框架旨在滿足美國(guó)政府采購更安全軟件的要求，但概述的原則是基本原則，適用于廣泛的組織。由于向美國(guó)聯(lián)邦政府銷售的供應(yīng)商需要提供遵守 SSDF 的證明，因此其他類型的組織也可以在自己的采購活動(dòng)中利用這些努力。這種方法可以簡(jiǎn)化供應(yīng)商提供證明的過程。

SSDF?包含四組高級(jí)推薦實(shí)踐（見圖 2）。供應(yīng)商應(yīng)該能夠并且愿意證明他們遵守這些做法，其中包括：

• 組織準(zhǔn)備：確保人員、流程和技術(shù)準(zhǔn)備好以安全的方式開發(fā)軟件。示例包括定義安全要求、建立適當(dāng)?shù)慕巧吐氊?zé)以及實(shí)施支持工具鏈。

• 保護(hù)軟件：供應(yīng)鏈攻擊已多次證明，軟件工件代表了可以引入惡意代碼的攻擊面。建議的做法包括防止未經(jīng)授權(quán)的訪問和篡改以及驗(yàn)證發(fā)布完整性的措施。

• 生產(chǎn)安全良好的軟件：這是應(yīng)用程序安全計(jì)劃的常見起點(diǎn)，包括安全軟件設(shè)計(jì)、自動(dòng)和手動(dòng)代碼審查、現(xiàn)有安全良好軟件的重用（如果可行）以及安全編碼實(shí)踐。

• 應(yīng)對(duì)漏洞：由于漏洞的產(chǎn)生是不可避免的，因此識(shí)別和確認(rèn)漏洞的存在以及確定漏洞的優(yōu)先級(jí)和進(jìn)行修復(fù)等實(shí)踐至關(guān)重要。

圖 2：NIST 安全軟件開發(fā)框架

在每個(gè)實(shí)踐中，都提供了支持實(shí)踐的特定任務(wù)的指導(dǎo)，以及實(shí)施示例，例如工具和流程。

SSDF?是一個(gè)健全的標(biāo)準(zhǔn)，軟件購買者可以使用它來評(píng)估供應(yīng)商的做法，甚至對(duì)于美國(guó)以外的非政府組織和實(shí)體也是如此。也就是說，組織應(yīng)該遵守當(dāng)?shù)鼗蛱囟ㄐ袠I(yè)的規(guī)定（如果存在）。

供應(yīng)商無法提供符合安全開發(fā)實(shí)踐（例如 SSDF）的證明，是一個(gè)重要的風(fēng)險(xiǎn)指標(biāo)（參見注釋 2）。然而，在某些情況下，供應(yīng)商可能無法保證他們遵循完整的 NIST 框架。盡管如此，取消供應(yīng)商的資格是不切實(shí)際或不可能的。在這種情況下，買方可以考慮采用替代方法來評(píng)估供應(yīng)商創(chuàng)建和交付安全軟件的能力，例如：

• 軟件開發(fā)人員驗(yàn)證最低標(biāo)準(zhǔn)指南(NIST IR 8937)：NIST?在 SSDF 發(fā)布之前發(fā)布了此指南，但其綜合性相當(dāng)?shù)?。然而，這些標(biāo)準(zhǔn)對(duì)于低風(fēng)險(xiǎn)軟件來說可能是可接受的，或者在供應(yīng)商努力實(shí)現(xiàn)對(duì)完整 SSDF 的支持時(shí)作為臨時(shí)措施。

• 由行業(yè)聯(lián)盟和更廣泛的安全社區(qū)建立的框架和指南：無數(shù)的努力顯示出不同程度的成熟度。三個(gè)著名的例子都傾向于關(guān)注開發(fā)環(huán)境和工件的完整性和保護(hù)，它們是：

o????軟件工件的供應(yīng)鏈級(jí)別(SLSA)：確保工件完整性和更具彈性的構(gòu)建系統(tǒng)的標(biāo)準(zhǔn)和控制。重點(diǎn)是保護(hù)軟件開發(fā)過程和相關(guān)工件（例如代碼和配置文件）。

o????軟件供應(yīng)鏈安全最佳實(shí)踐論文：該論文由云原生計(jì)算基金會(huì) (CNCF) 制作，提供了信息材料和推薦的最佳實(shí)踐的組合，以確保軟件供應(yīng)鏈安全的各個(gè)方面。

o????供應(yīng)鏈完整性、透明度和信任 (SCITT)?：由互聯(lián)網(wǎng)工程任務(wù)組 (IETF) 領(lǐng)導(dǎo)，基于 Microsoft 早期關(guān)于供應(yīng)鏈完整性模型的工作，SCITT 重點(diǎn)關(guān)注軟件環(huán)境中的供應(yīng)鏈安全和信任和數(shù)字供應(yīng)鏈。

可能與這些工作相關(guān)的其他標(biāo)準(zhǔn)和認(rèn)證包括：

• ISO 27034-1：一項(xiàng)國(guó)際標(biāo)準(zhǔn)，為跨各種用例的應(yīng)用程序安全指定、設(shè)計(jì)、選擇和實(shí)施安全控制和流程提供指導(dǎo)。示例包括內(nèi)部開發(fā)、商業(yè)許可軟件和外包開發(fā)。該標(biāo)準(zhǔn)已存在十多年，但尚未得到廣泛采用。它更普遍地適用于應(yīng)用程序安全計(jì)劃而不是供應(yīng)鏈。然而，供應(yīng)商持有的認(rèn)證將是關(guān)注應(yīng)用程序安全問題的有力證據(jù)。

• 外部審核和認(rèn)證：這些框架與 SaaS 產(chǎn)品特別相關(guān)，其中開發(fā)框架和 SBOM 的標(biāo)準(zhǔn)仍在制定中。示例包括系統(tǒng)和組織控制 (SOC) 以及 ISO 27001。

要求商業(yè)軟件內(nèi)容透明

眾所周知，現(xiàn)代應(yīng)用程序開發(fā)越來越依賴開源，有時(shí)還依賴商業(yè)許可的第三方庫。現(xiàn)有開源庫的重用可以顯著提高生產(chǎn)力，并提供更快地生成功能應(yīng)用程序的能力。盡管如此，這種做法本質(zhì)上會(huì)引入各種運(yùn)營(yíng)和供應(yīng)鏈風(fēng)險(xiǎn)，必須對(duì)其進(jìn)行管理。

因此，商業(yè)軟件內(nèi)容的透明度對(duì)于根據(jù)供應(yīng)鏈和運(yùn)營(yíng)風(fēng)險(xiǎn)的組織標(biāo)準(zhǔn)正確評(píng)估和審查軟件內(nèi)容至關(guān)重要。從這些評(píng)估中提取的數(shù)據(jù)還有助于快速評(píng)估高影響力、普遍存在的漏洞對(duì)系統(tǒng)用戶的影響。了解軟件的內(nèi)容（以開源商業(yè)庫和專有組件的形式）對(duì)于進(jìn)行以下評(píng)估是必要的：

• 代碼中存在已知但未經(jīng)修復(fù)或未緩解的漏洞。

• 與應(yīng)用程序的最終用戶可能繼承的依賴項(xiàng)相關(guān)的繁重或無吸引力的許可條款和條件導(dǎo)致的潛在法律風(fēng)險(xiǎn)。

• 運(yùn)營(yíng)和供應(yīng)鏈風(fēng)險(xiǎn)。這些通常包括諸如許可軟件中存在重大技術(shù)債務(wù)（例如，易受攻擊的組件、過時(shí)或報(bào)廢代碼）或軟件缺乏適當(dāng)?shù)陌踩刂坪蜋z查等因素。不良的維護(hù)和安全衛(wèi)生實(shí)踐表明，未來某個(gè)時(shí)候出現(xiàn)漏洞、項(xiàng)目放棄和其他風(fēng)險(xiǎn)的風(fēng)險(xiǎn)會(huì)增加。

在許多組織中，由于軟件內(nèi)容缺乏透明度，這些問題仍然未知，因此無法得到管理。這種缺乏透明度不可避免地會(huì)困擾安全團(tuán)隊(duì)，因?yàn)樗麄冃枰ㄙM(fèi)巨大的財(cái)務(wù)和運(yùn)營(yíng)成本來確定新披露的漏洞的潛在影響。最著名的例子是與 Apache Log4J 日志實(shí)用程序相關(guān)的漏洞。該實(shí)用程序廣泛用于內(nèi)部開發(fā)，并包含在多個(gè)商業(yè)軟件包中。由于該軟件中使用的組件缺乏透明度，事件響應(yīng)團(tuán)隊(duì)需要花費(fèi)大量時(shí)間與供應(yīng)商合作，識(shí)別潛在的易受攻擊的代碼，并最終緩解漏洞。

有效解決和避免此類問題所需的透明度始于SBOM。與其他物料清單一樣，SBOM 以其最基本的形式列出了在創(chuàng)建軟件時(shí)使用的各個(gè)組件：開源組件、商業(yè)組件和（在某些情況下）專有組件。盡管 SBOM 已經(jīng)發(fā)展了近十年，但它們首次引起廣泛關(guān)注是由于美國(guó)總統(tǒng)第 14028 號(hào)行政命令。

供應(yīng)商無法或不愿意提供 SBOM 應(yīng)被視為重大風(fēng)險(xiǎn)并可能被取消資格。

SBOM?可以被視為一個(gè)容器，用于存儲(chǔ)有關(guān)已包含在應(yīng)用程序（第一方、第二方和第三方）中的代碼的信息和潛在元數(shù)據(jù)。SBOM 以機(jī)器可讀格式以定義的方式創(chuàng)建，以促進(jìn)各方之間的數(shù)據(jù)傳輸，并支持對(duì)其內(nèi)容的自動(dòng)審查和分析。

有兩種主要格式用于創(chuàng)建 SBOM：軟件包數(shù)據(jù)交換 (SPDX) 和開放全球應(yīng)用程序安全項(xiàng)目 (OWASP) CycloneDX：

• SPDX是由 Linux 基金會(huì)贊助的項(xiàng)目，并已編入ISO/IEC 5962國(guó)際標(biāo)準(zhǔn)。據(jù)項(xiàng)目維護(hù)人員介紹，SPDX 可以傳達(dá) SBOM 信息，包括出處、許可證、安全性和其他相關(guān)信息。?

• CycloneDX是 OWASP 基金會(huì)的一個(gè)項(xiàng)目，被視為專注于安全的 SBOM。

雖然這兩種格式通常支持不同的用例，但兩種格式之間存在重疊。SPDX 傳達(dá)組件信息和相關(guān)數(shù)據(jù)，而 CycloneDX 則專注于安全和漏洞任務(wù)。雖然用戶可能會(huì)偏愛其中一種標(biāo)準(zhǔn)，但軟件供應(yīng)鏈安全管理的流程和工具應(yīng)該能夠支持這兩種標(biāo)準(zhǔn)。

與應(yīng)用程序安全流程證明類似，供應(yīng)商無法或不愿意提供 SBOM 應(yīng)被視為重大風(fēng)險(xiǎn)并可能被取消資格。

預(yù)計(jì)不同供應(yīng)商獲取 SBOM 的流程會(huì)有很大差異。由于一些供應(yīng)商將 SBOM 中包含的信息視為代表專有知識(shí)產(chǎn)權(quán)，因此用戶可能會(huì)發(fā)現(xiàn)獲取過程受到控制，并且分發(fā)僅限于軟件產(chǎn)品的許可用戶。在這些情況下，工件本身也將受到供應(yīng)商許可條款的控制，例如，將 SBOM 中的信息視為專有和機(jī)密。另一方面，一些供應(yīng)商可能會(huì)對(duì)文檔采取相當(dāng)隨意的方法，對(duì)其使用很少或沒有限制。

軟件的格式將影響供應(yīng)商提供 SBOM 的能力。為本地安裝或虛擬或云環(huán)境中安裝的打包應(yīng)用程序生成 SBOM 相對(duì)簡(jiǎn)單。用戶應(yīng)該能夠毫無問題地收到 SBOM。實(shí)施混合硬件物料清單 (HBOM) 和 SBOM 是一種既定做法，它可能會(huì)合并固件的 SBOM 元素。鑒于圍繞此類工件范圍的問題，基于 SaaS 的應(yīng)用程序的 SBOM 仍在進(jìn)行中。例如，CycloneDX 支持創(chuàng)建 SaaSBOM?，盡管買家應(yīng)該預(yù)期所提供的詳細(xì)程度存在很大差異。?

與采購一樣，SBOM 的運(yùn)輸或轉(zhuǎn)移是另一個(gè)領(lǐng)域，用戶應(yīng)該預(yù)料到供應(yīng)商處理任務(wù)的方式會(huì)有很大差異。更正式的方法將納入請(qǐng)求 SBOM 的定義流程以及嚴(yán)格的身份驗(yàn)證和訪問控制。建立來源的技術(shù)（例如數(shù)字簽名）也將作為 SBOM 分發(fā)的一個(gè)要素出現(xiàn)。這些技術(shù)旨在確認(rèn)文件的流通性和完整性。然而，在某些情況下，SRM 領(lǐng)導(dǎo)者應(yīng)該能夠簡(jiǎn)單地下載該文件的副本。用戶可能需要在軟件許可之前和之后協(xié)商接收 SBOM（及其各自的更新）的方法。

充分利用 SBOM 的內(nèi)在價(jià)值需要關(guān)注支持對(duì)其內(nèi)容進(jìn)行評(píng)價(jià)和評(píng)估的流程。這是成熟度存在相當(dāng)大差異的另一個(gè)領(lǐng)域。在某些行業(yè)領(lǐng)域，已經(jīng)出現(xiàn)了使用和管理 SBOM 的穩(wěn)健方法。這些群體的例子往往是監(jiān)管要求推動(dòng) SBOM 采用的領(lǐng)域，例如醫(yī)療設(shè)備或汽車制造。

出現(xiàn)了兩個(gè)主要用例：

• 應(yīng)對(duì)高影響力、普遍存在的漏洞的披露。

• 主動(dòng)評(píng)估組件以識(shí)別潛在的供應(yīng)鏈風(fēng)險(xiǎn)。

對(duì)高影響、普遍漏洞披露的響應(yīng)

Apache Log4J?事件（與跨多個(gè)代碼版本的至少六種不同的常見漏洞和暴露 [?CVE ] 相關(guān)）經(jīng)常被引用作為此用例的示例。這是因?yàn)槁┒吹膰?yán)重性以及修復(fù)這些風(fēng)險(xiǎn)所花費(fèi)的大量成本和精力。在大多數(shù)組織中，SRM 領(lǐng)導(dǎo)者有理由相信他們自己的專有代碼和其他軟件中存在缺陷。然而，他們無法快速確定哪些特定軟件可能包含違規(guī)代碼，如果包含，也無法確定它是否會(huì)受到利用。這導(dǎo)致我們花費(fèi)無數(shù)時(shí)間檢查代碼、與供應(yīng)商溝通并評(píng)估所帶來的風(fēng)險(xiǎn)。

在某些情況下，供應(yīng)商本身無法確定其產(chǎn)品是否受到影響。SBOM 的現(xiàn)成可用性將節(jié)省大量的工作時(shí)間。添加漏洞利用 eXchange [VEX?] 文件可以進(jìn)一步促進(jìn)響應(yīng)工作。軟件購買者可以根據(jù)需要頻繁地查看當(dāng)前的 SBOM，以識(shí)別新的漏洞。他們還可以尋找能夠自動(dòng)突出顯示新發(fā)現(xiàn)的漏洞的工具。

主動(dòng)評(píng)估組件以識(shí)別潛在的供應(yīng)鏈風(fēng)險(xiǎn)

在使用或部署軟件組件和依賴項(xiàng)之前主動(dòng)檢查和評(píng)估軟件組件和依賴項(xiàng)的努力也很有希望，但實(shí)施得少得多。該用例涉及尋源、采購和供應(yīng)商管理團(tuán)隊(duì)（針對(duì)商業(yè)軟件）以及應(yīng)用程序安全和軟件開發(fā)團(tuán)隊(duì)。

使用 SBOM 主動(dòng)評(píng)估商業(yè)軟件

在應(yīng)用程序安全和軟件工程團(tuán)隊(duì)中，使用軟件組合分析工具和 SBOM 已成為識(shí)別軟件開發(fā)中使用的依賴項(xiàng)風(fēng)險(xiǎn)的常用方法。Gartner 的2022-2024 年技術(shù)采用路線圖表明，大約一半的受訪者已經(jīng)使用軟件組合分析 (SCA) 工具，另外 30% 的受訪者預(yù)計(jì)將在 2023 年采用這些工具。 在大多數(shù)情況下，這些努力在很大程度上是被動(dòng)的，也就是說，它們?cè)陂_發(fā)人員已經(jīng)將開源依賴項(xiàng)添加到他們的應(yīng)用程序之后，他們就被雇用了。雖然這是開發(fā)團(tuán)隊(duì)公認(rèn)的做法，但無論是對(duì)于開發(fā)還是采購用例，都需要采取更主動(dòng)的方法。SBOM 的可用性為開發(fā)和安全團(tuán)隊(duì)在選擇過程中使用之前識(shí)別有風(fēng)險(xiǎn)或不可接受的代碼奠定了基礎(chǔ)。

使用 SBOM 來評(píng)估商業(yè)軟件的風(fēng)險(xiǎn)是一項(xiàng)遠(yuǎn)不如內(nèi)部開發(fā)成熟的工作。例如，采購和供應(yīng)商風(fēng)險(xiǎn)管理團(tuán)隊(duì)可能尚無法訪問他們購買的軟件的 SBOM，或者尚不熟悉 SBOM。其次，一個(gè)更根本的問題是，正如SBOM 所揭示的那樣，這些組織通常缺乏評(píng)估與各個(gè)組件相關(guān)的安全和操作風(fēng)險(xiǎn)所需的工具和信息。

簡(jiǎn)單來說，挑戰(zhàn)在于，SBOM 應(yīng)被視為“成分”列表——軟件中包含的各種組件。評(píng)估與這些組件相關(guān)的風(fēng)險(xiǎn)的買家需要的信息通常不包含在 SBOM 中，因此需要外部充實(shí)。SBOM 缺乏以下信息：

• 項(xiàng)目維護(hù)者的聲譽(yù)

• 該團(tuán)隊(duì)的規(guī)模

• 他們的安全實(shí)踐

• 貢獻(xiàn)者人數(shù)及身份

• 買家應(yīng)使用的其他信息來幫助評(píng)估風(fēng)險(xiǎn)

有關(guān)各個(gè)項(xiàng)目的元數(shù)據(jù)對(duì)于評(píng)估SBOM揭示的軟件內(nèi)容是必要的。該元數(shù)據(jù)存在多個(gè)來源，包括專有數(shù)據(jù)庫。這些數(shù)據(jù)庫是為開發(fā)和安全團(tuán)隊(duì)設(shè)計(jì)的工具中最常見的，其中一些支持采購和獲取流程的工具現(xiàn)在在市場(chǎng)上出現(xiàn)。

還有開源項(xiàng)目，例如OSSF 記分卡（見圖 3）。記分卡數(shù)據(jù)庫提供了一個(gè)有用的示例，說明如何評(píng)估開源風(fēng)險(xiǎn)的 SBOM。該數(shù)據(jù)庫包含有關(guān)開源項(xiàng)目的元數(shù)據(jù)，包括（截至 2023 年 10 月）約19 個(gè)不同的屬性，例如維護(hù)者的數(shù)量、更新頻率和對(duì)先前漏洞的響應(yīng)，以及安全測(cè)試和審查實(shí)踐。

組織應(yīng)該制定針對(duì)預(yù)期軟件采購的政策，并從記分卡等數(shù)據(jù)庫中提取信息，以確定給定的組件是否可接受。例如，惡意行為者有時(shí)會(huì)嘗試控制廢棄或休眠的項(xiàng)目，并將其用作向項(xiàng)目下游用戶分發(fā)惡意軟件的手段。如果策略標(biāo)記代碼很少提交或在很長(zhǎng)一段時(shí)間內(nèi)沒有發(fā)布更新，則表明該軟件包可能在不久的將來的某個(gè)時(shí)候被放棄。用戶可能希望選擇具有更好更新記錄的軟件包。

圖 3：OSSF 記分卡安全屬性

雖然采購團(tuán)隊(duì)傾向于使用一套完全不同的工具來支持他們的角色，但 SRM 領(lǐng)導(dǎo)者可以幫助這些買家了解潛在風(fēng)險(xiǎn)以及如何最好地管理這些風(fēng)險(xiǎn)。在更強(qiáng)大的工具上市之前，SRM 領(lǐng)導(dǎo)者還可以通過使用應(yīng)用程序安全和開發(fā)團(tuán)隊(duì)中可能已經(jīng)存在的軟件構(gòu)成分析和軟件供應(yīng)鏈安全工具來執(zhí)行此類評(píng)估來支持采購團(tuán)隊(duì)。

謹(jǐn)慎實(shí)施商業(yè)軟件的測(cè)試和安全評(píng)估

提高軟件供應(yīng)商安全實(shí)踐的可見性和軟件內(nèi)容的透明度將大大增強(qiáng)組織管理軟件供應(yīng)鏈風(fēng)險(xiǎn)的能力。但在某些情況下，這些活動(dòng)可能不足以全面評(píng)估特定軟件（或一般供應(yīng)商）所帶來的風(fēng)險(xiǎn)。對(duì)于處理極其敏感數(shù)據(jù)或支持構(gòu)成高水平其他類型風(fēng)險(xiǎn)（可能是由于它們暴露的攻擊面的結(jié)果）的關(guān)鍵功能的系統(tǒng)，應(yīng)考慮更積極的安全評(píng)估。這同樣適用于那些被認(rèn)為具有高風(fēng)險(xiǎn)但組織必須與之開展業(yè)務(wù)的供應(yīng)商。

由于需要各種類型的專業(yè)知識(shí)，建議建立一個(gè)跨職能的利益相關(guān)者團(tuán)隊(duì)，特別是如果此類評(píng)估預(yù)計(jì)將成為一項(xiàng)例行且持續(xù)的任務(wù)。此類團(tuán)隊(duì)通常包括以下人員的代表：

• 正式供應(yīng)商或整體風(fēng)險(xiǎn)管理職能

• 法律顧問

• 采購

• 業(yè)務(wù)線經(jīng)理（在他們受到相關(guān)軟件影響的范圍內(nèi)）

軟件測(cè)試支持的具體用例包括：

• 創(chuàng)建或確認(rèn)SBOM。

• 識(shí)別惡意軟件或惡意代碼。

SBOM 創(chuàng)建或確認(rèn)

在某些情況下，供應(yīng)商可能不提供軟件的 SBOM。無法或不愿意提供 SBOM 應(yīng)被視為重大警告。但是，可能會(huì)出現(xiàn)組織仍需要與此類供應(yīng)商開展業(yè)務(wù)的情況。例如，該軟件已經(jīng)在使用，并且組織高度依賴它，或者很少或沒有供應(yīng)商替代品。組織也可能希望驗(yàn)證供應(yīng)商提供的 SBOM。在這些情況下，組織可能需要?jiǎng)?chuàng)建自己的 SBOM。存在多種能夠反編譯和分析二進(jìn)制可執(zhí)行文件（甚至更多支持源代碼分析，如果可用）以生成 SBOM 的工具?？梢苑治鲞@些內(nèi)容的安全和操作風(fēng)險(xiǎn)，或確認(rèn)供應(yīng)商提供的文檔。

惡意軟件或惡意代碼的識(shí)別

軟件（開源和商業(yè)）被攻擊者用作攻擊媒介的現(xiàn)象越來越普遍。廢棄或維護(hù)不善的開源項(xiàng)目可能會(huì)被接管，或者攻擊者可能會(huì)控制商業(yè)軟件供應(yīng)商的構(gòu)建和部署流程。通過這種訪問，攻擊者可以嵌入惡意代碼，然后由最終用戶使用并通過供應(yīng)鏈傳遞。由于許多更新過程都是自動(dòng)化的，并且受到最少的監(jiān)督而且許多攻擊者似乎擁有很高的技能，迄今為止，這些攻擊已經(jīng)取得了相當(dāng)大的成功。能夠支持自動(dòng)分析代碼以檢測(cè)惡意軟件的供應(yīng)商數(shù)量有限，例如 ReversingLabs 或 Grammatech。這些工具應(yīng)與其他更傳統(tǒng)的測(cè)試形式一起考慮，例如滲透測(cè)試或模糊測(cè)試。傳統(tǒng)的應(yīng)用程序安全測(cè)試工具通常不會(huì)嘗試檢測(cè)惡意代碼。

在對(duì)外部代碼進(jìn)行任何分析或測(cè)試之前，SRM 領(lǐng)導(dǎo)者必須咨詢法律顧問，以確認(rèn)他們執(zhí)行測(cè)試的權(quán)利以及需要遵守的任何限制。軟件許可協(xié)議通常包含對(duì)測(cè)試、反編譯和分析的各種限制，作為提供軟件使用的許可的一部分。與此同時(shí)，各國(guó)政府頒布了旨在平衡合法安全研究人員的需求和軟件所有者的知識(shí)產(chǎn)權(quán)的法律。鑒于各個(gè)許可協(xié)議和適用法律的差異，法律顧問的建議和指導(dǎo)對(duì)于確保組織在其權(quán)利范圍內(nèi)執(zhí)行測(cè)試至關(guān)重要。文章來源地址http://www.zghlxwxcb.cn/news/detail-757362.html

到了這里，關(guān)于Gartner發(fā)布降低軟件供應(yīng)鏈安全風(fēng)險(xiǎn)指南的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！