郭雪，中国信通院云大所开源和软件安全部副主任

我从2015年开始做开源，到了2020年从开源往上追溯看到软件安全更多的内容，但当前的软件安全现状，大家更多关注渗透测试、代码审计的内容，而针对软件透明度跟踪比较少，所以我从开源入口开始关注到软件供应链安全当前存在的问题。

软件供应链安全研究背景

接下来我将以信通院的角度来说说什么是软件供应链安全，以及需要怎么做。由于近年来软件供应链安全事件频发，对于用户隐私、财产安全乃至国家安全造成了重大威胁。软件成为社会运转组件的同时，软件供应链安全也直接关系着关键基础设施和重要信息系统安全，使得保障软件供应链安全已然成为业界关注焦点。

目前企业软件供应链安全管理能力尚未完全建立，而软件供应链安全攻击事件在逐年飞速增长。据欧盟网络安全局（ENISA）2021 年 7 月发布的《供应链攻击威胁局势报告》显示，预计 2021 年的供应链攻击数量将增加至上一年的四倍之多。《2021 年软件供应链安全报告》显示，425 名大型企业的 IT、安全和 DevOps 主管中，64% 的人报告称去年受到了供应链攻击的影响。

根据 Cloudbees 2021 年发布的《全球首席级高管安全调查》数据显示，针对 500 名首席级高管进行的企业软件供应链状况调查，大约 45% 的受访者认为，在通过代码签名、工件管理和限制仅依赖可信注册机构等措施保护软件供应链方面，他们的工作只完成了一半，同时假设受访企业的软件供应链受到攻击，64% 的高管不知道应该先求助于谁。

以上可以看到问题的两个矛盾：

• 软件供应链安全事件频发；
• 大家不知道如何去做。

基于这个背景，信通院于 2020 年开展了相关的研究，参考美国国防部以及 Linux 基金会等给出的软件供应链安全的概念，软件供应链安全可以理解为：指软件供应链上软件设计与开发的各个阶段中来自本身的编码过程、工具、设备或供应链上游的代码、模块和服务的安全，以及软件交付渠道及使用过程安全的总和。

举个例子：牛奶，不知道奶源是哪，是哪个奶厂出厂，但经过实验发现，给小白兔喝没生病，给小老鼠喝没生病，从结果的角度上说软件安全。而软件供应链安全相当于这个牛奶标明了奶源是哪奶厂，是哪，生产日期等等，其本质就是软件的透明度。去做上游的可追溯，供应过程透明以及交付过程的安全。

可以看到软件供应链攻击有几个特性：

• 攻击门槛低；
• 隐蔽性强；
• 影响范围广。

导致软件供应链安全面临五大挑战：

• 设计开发复杂化导致漏洞产生；
• 开源引入存在安全风险；
• 快速交付致使安全验证周期缩短；
• 交付机制面临安全隐患；
• 使用阶段补丁安全存疑。

软件供应链安全标准体系

信通院围绕软件供应链安全标准体系在逐步完善。针对引入和交付过程研制了软件供应链安全管理成熟度模型的标准，其重点是在上游和下游交接过程中；针对安全生产产物，有研发运营安全的成熟度模型；针对下游交付的产品，有产品的标准。最后为了实现整个软件供应链的安全，需要有一整套工具链。

软件供应链安全生态建设

这部分将针对以上说到的三种标准进行解读。

1、软件供应链安全管理能力

软件供应链安全管理能力包含针对用户侧企业，考察软件供应链安全管理机制、供应链上游、开发链和供应链下游的全链路安全管理能力。第一个过程就是供应链上游，共有 4 部分组成：商业产品、开源、外包服务、云服务。其中大家对于商业采购、外包服务，包括银保监单独发的外包服务商的管理要求，都有相应成熟的管理规范，唯独开源这部分较弱。

在 2015 年时我自己做开源的时候，去跟某家金融机构交流，询问用了多少开源？回应零开源。当然我很震惊，这表现出大家对开源的使用并不了解、不掌握。近几年来变化很大，今年院里还做了一个调研，针对 60 多家金融机构，大概 40% 多的金融机构说自己开源软件组件的使用量过千，还有很多大的金融机构承认自己开源组件的使用量达到了上万，这说明已经开始使用检测工具进行开源的资产管理了。

针对软件供应链管理，其实大家都还在摸索，很多是安全部门尝试牵头，但是牵头起来有很大难度。因为其中涉及到采购、商业产品、外包服务商的管理，这就需要跟采购部门拉通，跟法务团队拉通，这种情况下有一些企业会专门建立虚拟团队。同时还有几方面很大的问题：一方面是物料清单，另一方面是老旧系统怎么去做软件供应链管理。

2、可信研发运营安全能力

研发运营安全主要针对安全开发，需要进行安全左移，需求、研发阶段便进行安全介入，从源头处降低安全风险，实现主动式安全防御，构建覆盖软件应用服务全生命周期的安全体系框架势在必行。这块标准主要是 SDL 以及 DevSecOps 内容的结合，从要求需求设计、开发、验证、发布运营下线全套过程的这个安全应该如何介入？列出了一些管理制度和这个组织架构的要求。

研发运营安全的标准在实现中也存在一些难点，例如 SDL 多年来难以落地有同样的问题，第一它很重，第二让开发同学都懂安全本身难度就很大。在落地过程中需要关注四个点：第一，要自上而下地推，在这个过程中要把研发、安全运维的同学都打通；第二，需要有相应的平台做支持；第三，整个运营过程中要形成数据的联动反馈；第四，形成闭环助力，协调机制的建立。

3、面向供应链的信息技术产品安全基线要求标准

面向供应链的信息技术产品安全基线要求标准，标准是通标线航标正在这个立项过程中，也欢迎大家参与。这部分总的分为两块，安全功能要求和安全保障要求。这个标准与上面讲到的安全开发体系标准是配套的。标准是体系的，是指怎么做好安全开发这套体系。而研发运营安全标准是结果的，是指最后依据这套安全开发体系，产品的实际要求是什么。

最后一个标准是 SBOM （软件物料清单），SBOM 很关键，在软件供应链处于一个非常核心的位置，是整个软件供应链里面一个很重要的抓手。参考国外有一些 SPDX 等相关的格式规范，列出了国内 SBOM 的标准，是通标的一个航标，主要包括三部分内容：

• 数据层：需要列出基本的数据要素，包括软件信息需要记录哪些组件信息、文件信息等等，对数据层规范了基本要求；
• 构建层：对生成方式、生成频率、生成深度提出了规范要求；
• 应用层：对应用于软件资产管理、漏洞管理、安全事件响应等提出了规范要求。

规划与展望

信通院也成立了一个软件供应安全的实验室，去做标准的讨论。大家如果感兴趣，欢迎加入我们去共同做一些讨论。

今年我们会持续完善相关标准，分别是SBOM、RASP、DevSecOps、产品安全基线标准。

最后我觉得软件供应链并不是一个企业的事情，也不是信通院自己可以研究完成的事情，它是一个生态的事情。因为开源的生态很大，包括整个软件的组成分析非常复杂，其实是需要大家共建共享的，所以也希望大家能够持续参与院里的标准和生态建设。