軟件供應鏈安全洞察關于ISCISC成立于2013年，是國內唯一專注為數字安全行業賦能的平臺。打維一體”的生態模式，全面賦能國家、政府、行業、企業、個人。過去10年，ISC秉承創新引領、智慧洞察、專業當今世界規格高、輻射廣、影響力深遠的全球性安全峰會——互聯網安全本報告版權屬于ISC，任何組織、個人未經授權，不得轉載、更改或者以任何方式傳送、復印、派發該報告內容，違者將依法追究法律責任。轉·本報告中的信息及觀點僅供參考，ISC對本報告擁有最終當今世界處于數字化轉型過程中，社會運行對軟件的依賴日益加深，2020年底被爆出的SolarWinds攻由于開源軟件的廣泛采用、基礎架構云化、以及軟件開發全球供應鏈的原因，軟件供應鏈安全問題的解決變得尤為困難，ISC推出的這份《軟件供應鏈安全行業洞察報告》可以為國內軟件供應鏈安全問題的解決提白皮書介紹了軟件供應鏈安全的重要性、現狀、風險、攻擊類型、治理指南以及落地實踐方案等方面的內容。白皮書從市場動態、技術發展、政策法規等方面分析了軟件供應鏈安全的現狀，同時還對軟件供應鏈安全風險進行了分析，包括軟件供應鏈的構成要素、軟件開發生命周期階段、軟件供應鏈威脅行為類別以及軟件供應鏈安全風險影響范圍等維度。接著，對軟件供應鏈攻擊類型進行了分析，包括開發階段、分發階段、部署階段和維護階段等不同階段的攻擊類型。在此基礎上，提供了軟件供應鏈安全風險治理指南，包括軟件供應鏈風險治理體系建設、軟件供應商風險管理以及軟件開發生命周期風險治理指南等方面的內容。最后，介紹了軟件供應鏈安全落地實踐方案，包括懸鏡軟件供應鏈安全治理與運營解決方案在某金融機構的落地實踐案例和某能源集團軟供安全漏洞自動挖掘和修復落地實踐等方面的內容，同時也探討了軟件供應鏈安軟件供應鏈安全是當今網絡空間安全的熱點問題之一，一系列法律法規、最佳實踐、技術、產品、流程還在在快速的完善過程中。關注軟件供應鏈安全，保護信息安全、組織聲譽、降低法律風險、提高業務持續真實有效的落地案例，內容全面、技術詳實、觀點清晰，可作為各組織與機構在規劃、實施軟件供應鏈安全近年來軟件供應鏈安全問題備受關注，但軟件供應鏈安全范圍不清晰，定義模糊，涉及技術和安全類型復雜。本書結合安全形勢，抓住軟件供應鏈安全的核心，預測了軟件供應鏈安全的發展趨勢，對軟件供應鏈不斷的發展和演進，當前軟件供應鏈安全面臨著帶來復雜度和管理難度。包括安全漏洞等治理難度增加供應鏈投毒危害較大。3.非技術因素也在影響軟件供在這個信息化迅速發展的時代，軟件已經變得無處不在，從基礎設施到日常設備，軟件都在默默支撐著我們的生活和工作。然而，隨著軟件在全球范圍內的普遍軟件供應鏈安全，簡而言之，是確保軟件的開發、分發和維護過程中，確保軟件及其組成部分（包括源代碼、庫和組件）不受到威脅行為者的惡意攻擊或利用的一種安全策略。在當下全球化和模塊化的軟件開發趨勢下，軟件供應鏈的復雜性日益增加，無疑為軟件供應鏈安全帶來了更大的挑戰。從最近幾年連續發生的軟件供軟件供應鏈安全的問題對我們的影響是深遠的。其問題不僅可能影響軟件的正常運行，還可能對使用者、公司，甚至是整個社會造成深遠影響。各地政府和企業也都已經意識到這個問題的嚴重性，并開始尋求解決方案，但由于軟件供應鏈的全在這份報告中，我們將從全球視野出發，深度剖析軟件供應鏈安全的當前狀態、主要問題、風險因素和應對策略。我們將重點介紹如何在軟件供應鏈的各個環節，從設計開發到部署和維護中實現安全防護，以及如何利用最新的技術和工具提在數字化進程日益加速的今天，軟件供應鏈安全不僅是一個技術問題，更是一個戰略問題。同時，軟件供應鏈安全不是一個短期可以解決的問題，它需要我們持續的努力和投入。希望通過我們的分析和洞察，能夠為行業從業者提供有價值的信2軟件供應鏈安全現狀分析2.1市場動態分析2.2技術發展現狀2.3政策法規要求3軟件供應鏈安全風險分析3.1軟件供應鏈的構成要素維度分析3.2軟件開發生命周期階段維度分析3.3軟件供應鏈威脅行為類別維度分析3.4軟件供應鏈安全風險影響范圍分析4軟件供應鏈攻擊類型分析4.1開發階段攻擊類型分析4.1.1開發工具污染攻擊4.1.2CI/CD流程攻擊4.1.3源代碼篡改攻擊4.1.4第三方依賴攻擊4.1.5依賴混淆攻擊4.2分發階段攻擊類型分析4.2.1篡改分發渠道攻擊4.2.2篡改安裝包攻擊4.3部署階段攻擊類型分析4.3.1惡意代碼插入4.3.2篡改配置攻擊4.4維護階段攻擊類型分析4.4.1劫持更新攻擊4.4.2利用陳舊組件攻擊5軟件供應鏈安全風險治理指南5.1軟件供應鏈風險治理體系建設225.2軟件供應商風險管理225.3軟件開發生命周期（SDLC）風險治理指南245.3.1需求分析階段245.3.2設計分析階段255.3.3研發測試階段255.3.4發布部署階段325.3.5運行維護階段345.3.6廢棄下線階段386軟件供應鏈安全落地實踐方案6.1懸鏡數字供應鏈安全方案在某金融機構的落地實踐416.2某能源集團軟供安全漏洞自動挖掘和修復落地實踐486.3源碼級軟件供應鏈安全解決方案落地實踐516.4某大型制造國有企業應用系統全生命周期安全管理596.5CodePecker軟件供應鏈安全解決方案助力某金636.6軟件供應鏈安全測試解決方案落地實踐666.7某頭部金融機構UniSCA軟件供應鏈安全管理平臺697軟件供應鏈安全未來發展趨勢7.1加大安全自動化和AI應用的投入7.2加強供應商安全審查和監管力度7.3采用更先進的加密和身份驗證技術7.4推行實施更嚴格的政策和法規7.5實現行業內生態合作和共享7.6利用體系化解決方案提升安全效能和可行性 02安全性：安全性是軟件供應鏈安全最基礎也是最關始終保持原始的完整狀態。這不僅需要在軟件傳輸和存儲過程中保證數據的完整性，也需要在軟件修會因為各種原因被削弱或破壞。03等環節。透明性可以幫助檢測和防止不良行為，增加信任以及提供有價值的信息來改進軟件供應鏈的持續性：持續性是指軟件供應鏈的安全管理是一個持續不斷的過程，而不是一次性的工作。隨著技術大約1990s大約1990s發展1990s-2000s1990s-2000s云計算和DevOps時代04開始看到有關軟件供應鏈安全的標準開始被提出和制定，例如，軟件供應鏈安全的開放標準SWID標簽0206供應鏈攻擊的增加：隨著黑客和網絡犯罪團伙的技術手段日益精進，供應鏈攻擊的數量正在急劇072.2I技術發展現狀安全漏洞和惡意代碼。082.3I政策法規要求復雜的網絡環境和日益嚴重的網絡攻擊威脅使得網絡安全問題異常復雜，許多問題無法僅靠技術手段解0903部署環境風險：軟件部署環境的安全問題也會直接影3.2I軟件開發生命周期階段維度分析3.3I軟件供應鏈威脅行為類別維度分析3.4I軟件供應鏈安全風險影響范圍分析04CI/CD流程攻擊·典型案例分析：·典型案例分析：XcodeGhost攻擊事件這次攻擊被稱為影響最大的iOS系統的惡意軟件攻擊之一，凸顯了攻擊者是如何利用開發者對開發工具4.1.2CI/CD流程攻擊 ·典型案例分析：CodecovBashUploader安全事件4.1.3源代碼篡改攻擊·典型案例分析：·典型案例分析：SolarWindsOrion供應鏈攻擊4.1.4第三方依賴攻擊·典型案例分析：·典型案例分析：Event-StreamNPM包篡改案這段惡意代碼的目標是針對特定的使用者：使用了Event-Stream并且包含Copay項目代碼的應用。4.1.5依賴混淆攻擊 ·典型案例分析：RubyGemsTyposquatting事件4.2I分發階段攻擊類型分析4.2.1篡改分發渠道攻擊·典型案例分析：·典型案例分析：ShadowPad攻擊在這次攻擊中，攻擊者首先入侵了NetSarang的軟件構建系統，然4.2.2篡改安裝包攻擊·典型案例分析：·典型案例分析：CCleaner攻擊事件4.3I部署階段攻擊類型分析4.3.1惡意代碼插入·典型案例分析：·典型案例分析：ShadowHammer攻擊4.3.2篡改配置攻擊·典型案例分析：·典型案例分析：VPNFilter惡意軟件攻擊4.4I維護階段攻擊類型分析4.4.1劫持更新攻擊·典型案例分析：·典型案例分析：NotPetya勒索軟件攻擊攻擊者首先對烏克蘭一家軟件公司MEDoc的更新服務器進行了攻擊，并在其更新程序中植入了4.4.2利用陳舊組件攻擊·典型案例分析：·典型案例分析：WannaCry勒索軟件攻擊在具體的攻擊過程中，WannaCry勒索軟件首先會通過互聯網尋找使用了未打補丁的Windows系統的 軟件供應商風險管理 軟件供應商風險管理5.2I軟件供應商風險管理供應商信息收集 制定評估標準進行供應商評估制定安全條款審查合同供應商管理階段 軟件供應商選擇階段供應商管理階段合同審查階段供應商風險處理階段合同審查階段建立監控機制供應商安全審計制定風險處理策略執行風險處理策略供應商信息收集：首先需要對軟件供應商的安全態勢有全面的了解5.3I軟件開發生命周期（SDLC）風險治理指南5.3.1需求分析階段從SDLC的需求分析階段開始就對軟件供應鏈安全風險進行治理，可以更早地識別和解決5.3.2設計分析階段可以使用STRIDE（Spoo?ng,Tampering,Repudi·進行安全原型驗證5.3.3研發測試階段SAST工具的主要目標是識別可能導致安全漏洞的代碼模式和行為，SAST工具合規性檢查：很多行業和地區有嚴格的代碼合規性要求，SAST工具可以自動檢查代碼是否符合這些精確性：IAST工具可以直接訪問應用程序的數據和控制流信息，因此其發現問題的精確性往往高于模糊測試技術的優勢在于其能夠發現那些常規測試方法難以發現的潛在問題，如緩沖區溢出、內存泄露題的能力。他們可以通過將SBOM數據與強大的軟件漏洞管理策略相結合來保護軟件供應鏈的完整性。5.3.4發布部署階段5.3.5運行維護階段自動化地模擬各種攻擊向量和威脅場景，來驗證和測量組織的網絡安全防御能力。BAS在現實世界中模擬攻零信任模型的工作原理是通過對所有用戶和設備進行持續且嚴格的身份驗證和權限管理，以保護網絡和持續驗證和監視：零信任模型需要持續進行身份驗證和行為監視，以防止任何未經授權的訪問或惡意5.3.6廢棄下線階段0642·供應源頭治理階段43·研發過程治理階段44·上線運營治理階段4546473、DevOps平臺業務面臨中斷可能：Jenkins插件支持熱部署，不需要每次更新插件時都需要重啟486.2I某能源集團軟供安全漏洞自動挖掘和修復落地實踐49·安全咨詢服務·開發階段工具檢測6.3I源碼級軟件供應鏈安全解決方案落地實踐現了江西某銀行信息化建設及運營過程中的軟件供應鏈安全保障功能，其中主要集成了軟件成分分析功能模軟件供應鏈安全智能分析平臺的軟件成分分析功能模塊包括軟件資產分析功能、已知漏洞檢測軟件資產分析功能對企業內部軟件資產進行源碼級細粒度的動態管理，并進行依賴關系關聯分析和統），軟件供應鏈安全智能分析平臺不僅支持文件與文件之間的比較，而3.供應鏈智能安全分析平臺與DevSecOps深度融合6.4I某大型制造國有企業應用系統全生命周期安全管理平臺項目結合該國企信息應用系統建設管理現狀，依據《信息安全技術網絡安全等級保護基本要求》（GB-T本項目圍繞應用系統的項目立項需求階段、系統開發階段、系統測試階段和系統運營階段等階段的安全周期安全檢測和軟件供應鏈安全保障。行代碼高危漏洞出現率千分之0.38，代碼整體缺陷中代碼質量缺陷占比67.22%，代碼安全風險類該項目經過一年多時間的建設和優化，建成一套應用系統全生命周期管理平臺、一套黑白灰安全測試工6.5ICodePecker軟件供應鏈安全解決方案助力某金融機構搭建通過為某金融機構相關的安全團隊進行技術賦能，主要提供基于語法樹和數據流的字節碼漏洞分析以軟開代碼檢查為內核，通過酷德啄木鳥公司源代碼缺陷分析系統演進為某金融機構的代碼資產檢查平6.6I軟件供應鏈安全測試解決方案落地實踐目前軟件供應鏈由于開源和云原生時代的到來越來越趨于復雜化和多樣化，軟件供應鏈安全風險不斷加供應鏈軟件安全測試床環境構建過程中有如下挑戰：6.7