软件供应链安全相关监管要求

引言

软件供应链是指软件从开发到交付到使用的整个过程中涉及的所有组织、人员、活动、资源和技术的集合。软件供应链具有复杂性、动态性、分布性和多样性等特点,涉及多个主体、多个环节、多个层次和多个领域。软件供应链不仅是软件产品和服务的生产者和提供者,也是软件产品和服务的消费者和使用者,构成了一个复杂的网络系统。

软件供应链面临着多方面的安全风险和挑战,如恶意代码植入、源代码泄露、依赖组件损坏、更新篡改、配置错误、许可证违规等,可能导致软件功能缺陷、性能下降、数据泄露、系统崩溃等严重后果,甚至威胁到国家安全、社会稳定和公共利益。随着互联网技术的发展和普及,软件供应链安全问题日益突出,成为网络安全领域的一个重要课题。

软件供应链安全是指保障软件供应链各方参与者在整个生命周期中能够有效地防范和抵御各种内外部威胁,确保软件产品和服务的可靠性、完整性、可用性和可信赖性。软件供应链安全对于提升我国软件产业的竞争力和创新能力,保障我国信息化建设和网络空间主权,促进我国经济社会发展和国家治理现代化具有重要的意义。

目前,全球外对于软件供应链安全的关注度不断提高,出台了一系列相关的标准、规范、法律和政策,旨在建立一套完善的软件供应链安全管理体系,规范软件供应链各方参与者的行为和责任,提高软件供应链安全水平。

全球及中国关于软件供应链安全相关的监管趋势如何?

欧美法律法规

2021 年 5 月 12 日,拜登政府签发《改善国家网络安全行政令》[1] 明确要求联邦政府必须采取行动,迅速提高软件供应链的安全性和完整性,并优先解决关键软件问题。此行政令是在 Solarwinds 投毒事件及科洛尼尔输油管攻击事件背景下发布的。 2022 年 4 月,美国食品药品监督管理局 (FDA) 在 FDA-2021-D-1158《医疗器械网络安全指南草案》[2] 中建议医疗器械企业在上市前提交时将“网络安全材料清单”替换为“软件材料清单”。

2022 年 5 月 5 日,美国国家标准与技术研究院(NIST)发布 SP 800-161《联邦信息系统和组织的供应链风险管理实践》[3] 标准,该标准文件用于指导联邦政府如何科学管理软件供应链安全风险。

2022 年 8 月,美国国家安全局 (NSA)、网络安全和基础设施安全局 (CISA) 以及国家情报总监办公室 (ODNI) 联合发布发布了《保护软件供应链:开发人员推荐实践指南》 [4],对开发者、软件供应商及软件使用方如何提升软件供应链安全提供指导。

2022 年 9 月 14 号,美国政府发布《通过安全软件开发实践增强软件供应链的安全性》[5] 的备忘录,该备忘录要求所有为联邦机构提供软件产品及服务的第三方必须提供符合标准的 SBOM 以证明自己软件的安全性,同时通过这种方式来帮助联邦政府机构在发现新漏洞时快速识别相关风险。

2022 年 9 月 15 日 欧盟发布了题为《网络弹性法案》[6](Cyber Resilience Act)的草案,旨在为联网设备制定通用网络安全标准。法案要求所有出口欧洲的数字化产品都必须提供安全保障、软件物料清单 SBOM 、漏洞报告机制,以及提供安全补丁和更新。违反规定的公司将面临最高 1500 万欧元或全球营收 2.5% 的罚款。

自 2021 年以来(实际更早几年开始)欧美先是政府层面发布了一些关于软件供应链安全防护的法规及标准,紧接着各行业开始陆续出台了相关的监管要求和落地指南及标准,从联邦政府及关键基础设施企业严格要求开始,逐步将需求传导到了整个软件及数字化行业,从而在欧美涌现了以 snyk 为代表的大量解决软件供应链安全需求的安全厂商。

国内法律法规及标准

2018年 10 月 10 日,国家市场监督管理总局和中国国家标准化管理委员会正式发布了国家标准GB/T 36637-2018《信息安全技术 ICT供应链安全风险管理指南》。该标准面向我国信息通信技术(以下简称ICT)供应链安全,旨在提高网络运营者ICT供应链安全管理水平,切实保障我国重要信息系统和关键信息基础设施的ICT供应链安全风险。

2021 年 7 月,工业和信息化部 网信办 公安部 印发 《网络产品安全漏洞管理规定》[7],致力于规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险 。

2021 年 10 月, 中国人民银行、中央网信办等五部门发布关于规范金融业开源技术应用与发展的意见[8],意见文件对金融行业的开源软件安全治理提出了明确要求。

2021 年 11 月,银保监会向所有金融机构发布《关于供应链安全风险提示的函〔2021〕371 号》 。

2022 年 3 月 7 日,国家药监局器审中心发布《医疗器械网络安全注册审查指导原则(2022 年修订版)》,文件要求医疗器械产品需为用户提供全部现成软件清单的能力。

2022 年 9 月 30 日 关于国家标准《信息安全技术 软件供应链安全要求》[9] 征求意见稿征求意见的通知发布,这是国内完全针对软件供应链安全的又一个国家级标准。

2022 年 10 月 30 日,国家标准《信息安全技术 软件产品开源代码安全评价方法》[10] 立项完成,启动制定。

2023 年 5 月 1 日,GB/T 39204-2022《信息安全技术关键信息基础设施安全保护要求》将正式实施,其中在 7.9 节对供应链安全管理提出明确要求。

当前软件供应链安全风险在全球及中国都是共识的严重安全威胁,国家层面正在密集出台相关的法律法规及标准文件,指导各行业加速软件供应链安全的治理工作,以保护国家关键基础设施的安全性和用户的数据安全。

软件供应链安全的实践案例和经验教训

近年来,软件供应链安全事件频发,给全球网络空间造成了巨大的损失和影响。以下是一些典型的软件供应链安全事件,以及从中可以借鉴或避免的软件供应链安全的实践经验和教训。

  • SolarWinds事件:该事件于2020年12月被曝光,是一起涉及美国政府部门和私营企业的大规模网络间谍活动。事件的核心是美国网络管理软件公司SolarWinds的Orion平台被黑客植入了恶意代码,导致该平台的18000多个客户在更新软件时被感染了后门程序,从而使黑客能够远程控制并窃取这些客户的数据和信息。该事件暴露出了软件供应链安全的薄弱环节,如软件开发过程中的安全漏洞、软件交付渠道中的安全风险、软件更新机制中的安全缺陷等。该事件也提醒我们了软件供应链安全的重要性,如软件供应商需要加强自身的安全防护、软件用户需要加强对供应商的安全审查、软件监管者需要加强对软件市场的安全监督等。
  • Kaseya事件:该事件于2021年7月发生,是一起涉及全球数千家企业和机构的大规模勒索软件攻击。事件的核心是美国远程管理软件公司Kaseya的VSA平台被黑客利用了一个未公开的漏洞,导致该平台的约1500个客户在使用软件时被感染了REvil勒索软件,从而使黑客能够加密并勒索这些客户的数据和资产。该事件暴露出了软件供应链安全的漏洞利用方式,如黑客利用零日漏洞进行攻击、黑客利用供应链关系进行传播、黑客利用勒索软件进行敲诈等。该事件也教育我们了软件供应链安全的防御措施,如软件供应商需要及时修复和公布漏洞、软件用户需要及时备份和恢复数据、软件反恶意软件组织需要及时发布和更新解决方案等。

墨菲安全企业软件供应链安全治理框架

墨菲供应链安全系列产品是通过多维度的资产扫描,深度识别资产中使用的外部依赖,结合全、准、快的风险知识库,准确识别漏洞风险和开源许可证风险,并提供专业、便捷的风险修复方案,帮助企业高效的治理供应链安全风险。

软件供应链安全相关监管要求

在整体解决方案方面,墨菲安全会帮助客户建立一整套软件供应链安全治理框架,从管理体系控制体系帮助客户至上而下建立软件供应链安全体系,解决开源组件、开源软件和闭源软件的安全风险

事前:主要以预防为主,在引入组件和编写代码时对组件和代码进行卡位和检测。

事中:主要以处置为主,在编译、部署阶段对项目进行扫描,并通过卡位方式防止项目携带风险上线。

事后:主要以应急为主,针对已上线项目进行风险预警,发现风险软件及时止损。

为完成控制体系,墨菲安全提供各类基础技术能力的支撑,包括:私有源管理、资产盘点、漏洞检测、漏洞修复等等。

结论

软件供应链安全是一个重要而紧迫的课题,关系到我国软件产业的发展和竞争力,关系到我国信息化建设和网络空间主权,关系到我国经济社会发展和国家治理现代化。我们需要高度重视软件供应链安全问题,加强软件供应链安全的标准制定、合规评估、风险管理、能力建设等方面的工作,提高软件供应链安全水平。我们也需要加强软件供应链各方参与者之间的合作与协调,建立一个共建共治共享的软件供应链安全治理体系,共同努力,共同提高软件供应链安全水平。

本文参考链接:

[1]https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/

[2]https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-medical-devices-quality-system-considerations-and-content-premarket-submissions

[3] https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final

[4]https://media.defense.gov/2022/Sep/01/2003068942/-1/-1/0/ESF_SECURING_THE_SOFTWARE_SUPPLY_CHAIN_DEVELOPERS.PDF

[5]https://www.whitehouse.gov/wp-content/uploads/2022/09/M-22-18.pdf

[6]https://ec.europa.eu/newsroom/dae/redirection/document/89543

[7]http://www.gov.cn/gongbao/content/2021/content_5641351.htm

[8]http://www.cac.gov.cn/2021-10/27/c_1636928705274546.htm

[9]https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20220930173005&norm_id=20211108000018&recode_id=48921

[10]https://mp.weixin.qq.com/s/Hr8qYtcOCs3GKzQ7Vpx_Cw

发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/knowledge-popularization/4965.html

(0)
上一篇 2023年7月14日 16:26
下一篇 2023年7月17日 10:33

相关推荐

  • SBOM清单是什么?

    引言 你是否知道你使用的软件都是由哪些组件构成的?你是否了解这些组件的来源、版本、许可证和安全状况?如果你是一个软件开发者或者供应链管理者,你是否能够追踪和管理你的软件产品中包含的所有组件?在当今的软件行业,这些问题都是非常重要和紧迫的。为了提高软件供应链的透明度和安全性,我们需要一种工具来帮助我们识别、记录和共享软件组件的相关信息。这就是SBOM清单。 S…

    2023年7月7日
  • Java开发初学者的五条安全小贴士

    前言 得益于Java的完备生态,Java一直是非常热门的编程语言。但对于刚刚接触Java的开发者来说,很少会去关注安全相关的问题,没有养成良好的开发习惯,在开发过程中容易带来安全隐患。 我们在本文中总结了五条简单有效的小建议。 一、及时更新依赖组件版本 在Java开发中,开发者经常会用到各类开源组件来实现自己的功能点,但是许多开发者不常关注安全资讯,不了解开…

    2023年1月4日
  • GitHub集成 MurphySec 实时代码安全检测

    将MurphySec代码安全检测工具集成到GitHub action中,可对每一次代码更新实时进行安全漏洞检测,并快速修复这些安全漏洞。 如果您使用过GitHub Actions 请直接按照第3步开始操作 效果图 未开启请点击Actions启用GitHub Actions 如展示如下图所示表示项目已开启Actions 进入项目页面配置Action权限 点击s…

    2023年7月10日
  • 墨菲安全参与信息通信软件供应链安全社区成员大会并获自主研发创新成果奖

    2023年2月16日,首届ICT软件供应链安全治理论坛暨信息通信软件供应链安全社区第二届成员大会在北京成功举办,多位业界顶级专家与工业和信息化部网络安全管理局相关领导出席,为现场观众分享了关于软件供应链可持续性与安全治理行业的前瞻与思考。会议期间,墨菲安全自主研发的【软件供应链安全管理平台】授予了自主研发创新成果奖。会议下午,墨菲安全协助中国移动举办分会场论…

    2023年2月20日
  • Java 漏洞扫描工具之 IDE 插件以及强烈修复漏洞解释

    开源组件的漏洞检测工具:使用简单、能力专业、风险展示清晰的 ide 插件“murphysec”的使用指南。

    2023年2月6日

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

联系我们

400-180-9568

邮件:hi@murphysec.com

工作时间:周一至周五,10:00-19:00,节假日休息

关注公众号

20230105-100741