习近平总书记在二十国集团领导人第十六次峰会第一阶段会议发表的重要讲话中强调:“要维护产业链供应链安全稳定,畅通世界经济运行脉络。”
作为世界第二大经济体,我国在世界局势不断变化的今天依靠自身供应链韧性保持了强有力的经济增长与制造业产业转型升级持续稳步推进。信息和通信技术(Information andCommunications Technology,简称ICT)供应商、第三方供应商、集成服务企业和服务提供商共同组成的ICT产业链承担着我国产业从工业化向数字化转型升级的重要任务。2018年以来,中兴、华为、大疆等一系列事件,暴露出我国ICT产业链上游核心技术受制于人的问题,缺乏核心技术使我国网络安全与信息化建设存在巨大的风险与阻碍。尤其在近期俄乌冲突期间,西方社会对俄罗斯进行了全方位的制裁,同时将ICT供应链制裁上升到了战略层面对俄罗斯进行打击,这一行为也为我国敲响了警钟。软件供应链作为ICT供应链的重要组成部分,是各类关键信息基础设施平稳运行的重要基础,其关键组件的设计、开发、部署、监控和持续运营等生命周期核心环节供给过程的安全可控成为网络安全的关键考量因素。
绿盟科技推出软件供应链安全技术白皮书,旨在从软件供应链安全威胁与国内外形势来梳理软件供应链中存在的安全问题,提炼出软件供应链安全治理的核心理念、技术框架、关键技术,并从供应链安全监管和控制方面给出解决方案和最佳实践,期望为读者带来全新的技术思考,助力我国软件产业发展。本技术白皮书的主要观点如下:
观点1∶软件供应链威胁存在于软件供应链的全生命周期中,攻击的手段和实施的途径相较其他攻击技术手段更加多元化,且难以防范。近几年软件供应链攻击安全事件激增,软件供应链攻击已经成为重要的突破手段,其中利用开源社区、公共开源存储仓库这类开源软件生态入侵事件尤为严重。开源软件供应链安全不可忽视,其重要性日渐凸显。
观点2:近年来,政府在供应链安全领域发挥着越来越重要的影响,但除积极方面之外,以美国为首的部分发达国家政府在其中注入了过多地缘政治因素的考量,甚至将其制定相关法规的权力作为国际竞争的工具,使其风险从通常意义上的网络安全风险上升为供应链断供风险。另一方面,面对发达国家以法令出台、贸易制裁、技术出口等手段带来的供应链跨境安全管控风险,中国、俄罗斯等国家立足国情,集中优势资源开展核心技术攻关,提升自研自制能力,补齐短板、发展优势能力,加强对供应链产品和服务的安全审查,逐步建立和完善供应链安全风险管理体系。
观点3:为应对软件供应链的威胁,上游企业需要构建自身产品的软件成分清单来梳理软件供应链信息,向下游企业和用户清晰、透明的提供管理软件供应链所需要的基础条件。软件成分清单依据识别成分的粒度,可以分为不透明、微透明、半透明和透明几个阶段。透明程度高的软件成分清单,能显著提升最终用户进行软件供应链安全评估的准确性。
观点4:软件供应链安全包括整个软件的开发生命周期,在开发阶段漏洞的引入不止在代码编写阶段,还有所依赖的开源组件、开发和构建工具等,依照软件的开发和构建过程,企业需要建设开发过程安全评估能力。在软件交付阶段,作为供应商,除保证交付软件安全外,也应将软件成分清单一并交付给下游企业,促使整个软件供应链的上下游都具备依据安全通报、威胁情报监控等第三方信息能够分析、评估软件供应链安全的基本条件。供应链软件产品交付运行后,供应商应在产品的生命周期内提供安全保障服务,对产品漏洞及时修复,最终用户也应根据供应商所提供的软件成分清单纳入企业资产管理范围,定期对资产进行安全评估,结合漏洞预警,对受影响的产品进行加固和修复。
观点5:软件供应链风险贯穿了产品的整个生命周期,结合近年来所发生的供应链攻击和入侵事件,我们需要从监管层面加强供应链产品安全认证管理,提供企业软件SBOM托管和可信认证服务,企业也需要完善供应链资产管理和安全检查,可借助SBOM知识图谱理清企业供应链依赖关系,从而在监测到预警时能够从容应对。
观点6:软件供应链在不断的技术迭代与产业发展中逐渐形成了包含复杂技术体系、多元产品组件及各路开发者、供应者与消费者为一体的庞大产业生态,大量新技术的引入令软件风险防护范围从个体层面提升至供应链层面,安全视角发生了重大变化。整个软件供应链缺乏有效的统筹与管理,将安全建设寄托于技术人员的自我道德约束无疑是一种“赌博”。我们急需建立供应链安全管理机制,杜绝“自我约束”的无监管行为。通过政策引导与配套法律建设保证软件供应链安全能够牢牢的把握在中国人自己手中,形成可信的软件供应链体系,真正造福社会。
本文来自知之小站
PDF报告已分享至知识星球,微信扫码加入立享3万+精选资料,年更新1万+精选报告
(星球内含更多专属精选报告.其它事宜可联系zzxz_88@163.com)
