m o .c 软件供应链安全发展洞察 报告 5 b u (2021年) h t i g 云计算开源产业联盟 OpenSource Cloud Alliance for industry,OSCAR 2021年12月 版权声明 本白皮书版权属于云计算开源产业联盟,并受法律保护。 m o .c 转载、摘编或利用其它方式使用本调查报告文字或者观点的, 应注明“来源:云计算开源产业联盟”。违反上述声明者,本联 5 b u 盟将追究其相关法律责任。 h t i g 前 言 数字化时代,软件已经成为日常生产生活必备要素之一, 渗透到各个重要行业和领域。随着数字化转型进程的推进, 容器、中间件、微服务、DevOps 等新技术理念的演进,软件 行业快速发展,但同时带来软件设计开发复杂度不断提升, 软件供应链愈发复杂,全链路安全防护难度不断加大等问题。 m o .c 近年来,软件供应链安全事件频发,对于用户隐私、财产安 全乃至国家安全造成重大威胁。软件成为社会运转组件的同 5 b u 时,软件供应链安全直接关系着关键基础设施和重要信息系 统安全,保障软件供应链安全成为业界关注焦点,也成为企 业共同诉求。 h t i g 本白皮书首先对于软件供应链安全进行了概述,明确软 件供应链安全发展背景、定义及特点,随后从市场及攻击规 模、政策法规、标准建设以及企业实践层面梳理了软件供应 链安全发展现状,其次针对软件供应链安全关键要素,从入 口管控、自身管控、出口管控三大环节解析要素实践落地。 最后,结合当前现状对于软件供应链安全未来发展趋势进行 前瞻预测,并在附录中分享了软件供应链典型攻击事件以供 参考。 参与编写单位 中国信息通信研究院、奇安信科技集团股份有限公司、腾讯云 计算(北京)有限责任公司、苏州棱镜七彩信息科技有限公司、杭 州安恒信息技术股份有限公司、深圳华大生命科学研究院、北京天 融信网络安全技术有限公司、深圳开源互联网安全技术有限公司、 悬镜安全、杭州默安科技有限公司、新思科技 主要撰稿人 5 b u m o .c 吴江伟、栗蔚、郭雪、刘帅、董国伟 黄永刚、梁大功、易焕 腾、李馨宁、郭铁涛、张文凯、赵洪阳、倪平、张祖优,张恒,迟 h t i g 长峰,朱瑞新、杨文根 袁明坤、杨廷锋、张鹏程、蔡国瑜、张玉 良、雷晓锋,杨剑、子芽、宁戈、董毅、严雪伦、王颉、杨国梁、 王永雷、张建盛、张桐桐、廖子晖 目 录 一、软件供应链安全概述 ........................................................................................................1 (一)软件成为社会运转基础组件,面临新型挑战 ....................................................1 (二)软件供应链安全定义、挑战及特点 ....................................................................2 (三)从软件供应链全链路开展软件供应链安全研究 ................................................6 m o .c 二、软件供应链安全发展现状 ................................................................................................9 (一)软件供应链攻击事件数量持续增长,业界关注及投入程度仍有待提升 ........9 (二)全球重点国家针对软件供应链安全推行政策法规 ..........................................10 5 b u (三)国内及国际标准组织推进软件供应链安全共识 ..............................................13 三、软件供应链安全关键要素 ..............................................................................................16 (一)软件供应链入口及出口安全管控 ......................................................................16 h t i g (二)软件供应链自身安全管控 ..................................................................................22 四、软件供应链安全发展建议 ..............................................................................................28 附录一:软件供应链典型攻击事件 ......................................................................................31 云计算开源产业联盟 软件供应链安全发展洞察报告 一、 软件供应链安全概述 (一)软件成为社会运转基础组件,面临新型挑战 数字化时代,软件已经成为社会正常运转的基础组件。在工信部 2021 年印发的《“十四五”软件和信息技术服务业发展规划》中,明 确提出,软件是新一代信息技术的灵魂,是数字经济发展的基础,是 制造强国、网络强国、数字中国建设的关键支撑。在数字化的大背景 m o c . 5 之下,分门别类的软件,包括系统软件、支撑软件、应用软件、信息 安全软件、工业软件等等,服务于电信、金融、交通、能源、制造、 政务等各个重点行业和场景,成为基础元素之一,与国家重要信息系 b u 统与关键基础设施息息相关。 多重因素助推软件行业快速发展,安全成为制约其发展的关键要 h t i g 素。容器、微服务、DevOps 等新技术、新理念的快速演进;软件应用 场景及需求不断增加,软件种类不断丰富;“混源”开发成为主要模 式,开源影响不断加大以及国家政策文件的鼓励支持等多重因素推动 软件行业快速发展。据统计,国内软件和信息技术服务产业规模从 2015 年的 4.28 万亿元增长至 2020 年的 8.16 万亿元,年均增长率达 13.8%,占信息产业比重从 2015 年的 28%增长到 2020 年的 40%;操作 系统、数据库、办公软件等取得一系列标志性成果,部分新兴平台软 件、应用软件达到国际领先水平。但在软件功能、性能、场景等快速 发展的同时,软件安全问题层出不穷,成为制约其发展的关键要素。 1 云计算开源产业联盟 软件供应链安全发展洞察报告 软件供应链安全事件频发,成为业界关注焦点。近来,备受瞩目 的阿帕奇(Apache) Log4j2 漏洞爆发事件与 2020 年 12 月发生的 SolarWinds 事件都属于典型的软件供应链安全事件。Apache Log4j2 组件是基于 Java 语言的开源日志框架,被广泛用于业务系统开发。 Apache Log4j2 组件漏洞可能导致设备远程受控,进而引发敏感信息 窃取、设备服务中断等严重危害,因其是日志记录组件,属于关键基 础组件,漏洞影响范围巨大。据统计, 在世界最大代码托管平台 GitHub m o c . 5 上,共有 60644 个开源项目发布的 321094 个软件包存在与 Apache Log4j2 相关的安全风险。SolarWinds 公司是管理和监控软件的供应 商,客户包括美国所有前十大电信业者、美军所有五大部队、美国国 b u 务院、国家安全局、以及美国总统办公室等。2020 年 12 月 SolarWinds h t i g 遭遇供应链攻击并植入木马后门,导致包括美国关键基础设施、军队、 政府在内的 18000 多家企业客户全部受到影响,成为年度最严重的供 应链安全事件。 图片来源:公开 图 1 Apache Log4j2 漏洞事件与 SolarWinds 安全事件 (二)软件供应链安全定义、挑战及特点 2 云计算开源产业联盟 软件供应链安全发展洞察报告 MITRE 公司向美国国防部(DoD)提出的供应链安全的定义是指 “从开发到将产品或服务从供应商交付给客户所涉及的组织、人员、 活动、信息和资源系统。软件供应链安全风险是软件在开发、交付、 使用等过程中及其管理体系由于存在脆弱性导致出现的安全问题。供 应链“活动”或“运营”涉及:将原材料、组件和知识产权转化为产 品,交付给最终客户;与供应商、中间人和第三方服务提供商进行必 要的协调和协作。” m o c . 5 软件供应链由传统供应链概念扩展而来。传统的供应链概念是指 商品到达消费者手中之前各相关者的连接或业务的衔接,从采购原材 料开始,制成中间产品以及最终产品,最后由销售网络把产品送到消 b u 费者手中的一个整体的供应链结构。将传统商品的供应链应用于计算 h t i g 机软件,则可以衍生出软件供应链这一概念。业界普遍认为软件供应 链指一个通过一级或多级软件设计、开发阶段编写软件,并通过软件 交付渠道将软件从软件供应商送往软件用户的系统,是一个由多个上 游与下游组织相互连接形成的网链结构,参考 ICT 供应链架构,如下 图 2 所示。软件供应链安全指软件供应链上软件设计与开发的各个阶 段中来自本身的编码过程、工具、设备或供应链上游的代码、模块和 服务的安全,以及软件交付渠道安全的总和。软件供应链可以理解为 一个链条,在链条上的每一个环节都可能产生安全威胁,包括软件设 计与开发的各个阶段中来自所使用的研发工具、设备、本身的编码过 程,或供应链上游的代码、模块和服务所带来的安全风险, 以及在软 件交付渠道及使用过程所存在的安全风险。 3 云计算开源产业联盟 软件供应链安全发展洞察报告 ICT产品/系统/服务 采购方(终端客户) 供应商 供应商 供应商 供应商 供应商 供应商 …… 一级供应商 供应商 …… 二级供应商 采购方 供应商关系 供应方 供应商 供应商 …… 供应商 供应商 …… 供应商 …… 三级供应商 …… …… 图片来源:GB∕T 36637-2018 图 2 ICT 供应链架构示意图 软件供应链安全面临设计开发复杂化、开源引入、快速交付、交 m o c .

pdf文档 云计算开源产业联盟 软件供应链安全发展洞察报告 2021

文档预览
中文文档 39 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共39页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
云计算开源产业联盟 软件供应链安全发展洞察报告 2021 第 1 页 云计算开源产业联盟 软件供应链安全发展洞察报告 2021 第 2 页 云计算开源产业联盟 软件供应链安全发展洞察报告 2021 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲2022-06-17 03:23:51上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言
热门文档