软件供应链安全评估方案
01
概述
伴随着数字化的不断推进,软件产业也在高速发展,软件外包日益盛行,开源软件大量被使用,软件供应链也越发复杂多元,软件安全性问题也正在成为当今社会、政府、企业面临的基础性重大问题。近年来,应用系统被入侵或敏感信息泄露类的安全事件时有发生,大部分安全事件的根本原因是应用软件设计或实现中存在安全漏洞。软件供应链的复杂性不断增加,涉及众多的开发团队、开源组件、第三方库以及外部供应商等环节。软件供应链中的安全漏洞可能被攻击者利用,从而导致数据泄露、系统瘫痪、业务中断等严重后果。
近年来,国家层面针对软件供应链安全问题也在高度重视,不断出台了相关的法律法规和标准。《网络安全法》、《网络产品和服务安全审查办法》、《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 关键信息基础设施安全保护要求》、《网络安全技术 软件供应链安全要求》等相关法规标准,都对网络产品、服务提供者提出了明确要求,要全面加强软件供应链安全风险管控。对于政府、企事业单位,把软件供应链安全合规工作提升至战略发展高度将势在必行,建立软件供应链安全管控,提升自主安全可控能力。因此,开展软件供应链安全评估对于保障软件系统的安全性和可靠性至关重要。
02 评估目的
通过开展软件供应链安全评估,全面摸清企业当前软件供应链安全现状和潜在的安全风险,从软件供应链的上下游和供应链的各个环节进行安全评估,发现软件供应链安全管控的技术、管理、人员上的安全缺失和不足,给出合理化改进建议,增强软件供应链安全管控能力,实现软件供应链可信治理、软件产品服务可信、供应过程可信、开源可信,建立可信软件供应链。具体评估目的内容如下:
1.全面识别软件供应链中的安全风险点,包括但不限于源代码漏洞、开源组件安全问题、许可证风险、依赖关系风险、供应商安全状况等。 2.评估软件供应链中各环节的安全控制措施的有效性,确定是否符合相关的安全标准和最佳实践。 3.为软件供应链的安全改进提供依据和建议,降低安全风险,提高软件系统的整体安全性。 03 评估内容
依据相关的安全标准和规范,如《网络安全法》、《网络产品和服务安全审查办法》、《信息安全技术网络安全等级保护基本要求》、《信息安全技术关键信息基础设施安全保护要求》、《网络安全技术 软件供应链安全要求》、《软件供应链安全要求测评方法》等相关法规标准,结合行业最佳实践和指南,如 OWASP 软件供应链安全项目的相关要求对供需双方软件供应链安全管控状况进行评估。评估内容主要围绕安全管理和安全技术两部分,其中管理包括制度、组织、人员、过程、漏洞、资产、环境几个部分,技术包括源代码、开源组件、软件制品和配套文档几个部分。通过技术手段和管理评估的方式,全面发现软件供应链过程中的风险。
图1.评估内容
04 评估方法
软件供应链安全评估方法包括文档审查、人员访谈和技术分析、安全测试,具体评估方法如下:
1.文档审查:收集和审查与软件供应链相关的各种文档,包括项目需求文档、设计文档、开发计划、测试计划、供应商合同、安全策略等。通过文档审查,了解软件供应链的架构、流程和安全要求,识别潜在的安全风险点和合规性问题。 2.人员访谈:与企业信息管理人员、开发人员、运维人员、信息安全从业人员进行访谈,深入了解软件供应链安全管理组织机构、制度、流程和落实情况。 3.代码分析:采用静态代码分析工具和动态代码分析工具对软件项目的源代码进行分析。静态代码分析工具可以检测代码中的安全漏洞、代码质量问题、潜在的恶意代码等;动态代码分析工具可以在软件运行时检测内存泄漏、缓冲区溢出、资源竞争等安全问题。同时,对开源代码和第三方代码库进行代码审查,检查是否存在已知的安全漏洞和许可证合规性问题。 4.依赖关系分析:使用专门的依赖关系分析工具,梳理软件项目所依赖的各种组件、库和框架的版本信息、来源、更新历史以及它们之间的相互依赖关系。评估依赖关系的复杂性和稳定性,识别可能存在的依赖关系风险和许可证风险,如依赖的组件存在安全漏洞且未及时更新、依赖关系的变更可能导致系统兼容性问题等。 5.供应商评估:对参与软件供应链的外部供应商进行安全评估,包括供应商的安全管理体系、安全资质、数据保护措施、应急响应能力等方面。通过问卷调查、现场审计、参考第三方评估报告等方式,收集供应商的安全信息,评估供应商的安全风险等级。 6.安全测试:开展各种安全测试,如渗透测试、漏洞扫描、安全功能测试等,模拟攻击者的行为,检测软件系统在不同场景下的安全防护能力。渗透测试可以发现系统中的潜在入侵路径和安全漏洞;漏洞扫描可以检测网络设备、服务器、应用程序等是否存在已知的安全漏洞;安全功能测试可以验证软件系统的身份认证、授权、加密、审计等安全功能是否正常运行。 05 评估流程
软件供应链安全评估整体实施流程如下图所示。
1.摸现状,通过信息调研摸清现状,包括摸清供应关系、基本信息调研、交付物与关键活动梳理、供需双方安全防护措施调研。
2.做分析,通过风险识别开展分析,分析服务类型关键活动,供应链风险识别,从供应链服务过程、供应类型、交付物、基本安全防护建设等方面识别合规问题及安全风险。
3.评差距,开展分析总结,寻找差距,综合分析形成问题清单,分析评价安全风险,确认风险容忍度,编制评估报告。
4.提建议,给出软件供应链安全管控改进建议和处置方案,进行优化整改,并持续跟踪风险整改情况。
图2.软件供应链安全评估流程
06 预期成果
通过软件供应链安全评估,形成以下预期成果:
1.输出评估结果报告:以评估报告的形式详细呈现软件供应链的安全状况,包括软件资产清单、软件供应链各环节的安全风险点、安全控制措施的有效性、供应商的安全风险等级等信息。评估报告应采用直观的图表、数据和文字说明相结合的方式,便于读者理解和分析。 2.提前风险优先级预警:对评估发现的安全风险点进行优先级排序,根据风险的严重程度、发生概率和影响范围等因素,确定高、中、低风险等级。风险通报预警,优先处理高风险问题,制定相应的风险缓解措施和时间表。 3.针对性安全改进建议:针对评估发现的问题和风险点,提出具体的安全改进建议,包括技术措施、管理措施和流程优化等方面。例如,建议更新开源组件到安全版本、加强供应商安全管理、完善安全测试流程、建立安全漏洞监测和应急响应机制等。 4.支持安全管控决策:将评估结果和改进建议提供给软件项目团队、管理层和相关决策部门,为他们在软件采购、开发、部署和维护等方面的决策提供依据。例如,在选择供应商时,优先考虑安全风险等级较低的供应商;在项目开发过程中,根据安全评估结果调整开发计划和资源分配,加强安全开发和测试工作。 软件供应链面临的安全风险包括研发、采购、人员等内部过程风险,第三方服务、数据安全、网络信息安全等外部环境风险,以及新技术引入的挑战,如物联网、云计算等,动态的风险管理体系需要与环境变化同步更新。这要求整合内外部信息,持续监测技术、环境与威胁变化。及时识别新出现的风险源,评估其对供应链的影响,采取针对性地防护措施,不断适应新的挑战与威胁。