全球互聯(lián)數(shù)字供應(yīng)鏈時(shí)代下，軟件已經(jīng)滲透到我們工作和生活的方方面面，與各個(gè)領(lǐng)域緊密銜接。軟件開發(fā)和生產(chǎn)也從傳統(tǒng)的封閉、單一模式轉(zhuǎn)變?yōu)楝F(xiàn)代的分布式、多樣化模式，形成“軟件供應(yīng)鏈”。然而，軟件供應(yīng)鏈安全市場(chǎng)在蓬勃發(fā)展的同時(shí)，也逐步趨于復(fù)雜化和多樣化，其安全風(fēng)險(xiǎn)不斷加劇，引發(fā)全球的擔(dān)憂。

尤其在重保場(chǎng)景下，攻擊者可以利用軟件供應(yīng)鏈其中的一個(gè)弱點(diǎn)或者漏洞，突破邊界防線，直接導(dǎo)致核心業(yè)務(wù)應(yīng)用被攻破和重要數(shù)字資產(chǎn)的丟失，這種滲透內(nèi)部獲取機(jī)密或者植入惡意代碼引起的破防比例很高。

此前爆發(fā)的SolarWinds、Log4j、Microsoft和Okta等多個(gè)軟件供應(yīng)鏈攻擊事件對(duì)企業(yè)造成嚴(yán)重的沖擊，也對(duì)全球經(jīng)濟(jì)構(gòu)成顯著威脅。Gartner報(bào)告指出，惡意代碼注入威脅次數(shù)的增加使得保護(hù)內(nèi)部代碼及外部依賴項(xiàng)（開源和商業(yè)軟件）變得越發(fā)重要，到2025年全球45%組織機(jī)構(gòu)的軟件供應(yīng)鏈將遭到攻擊，這個(gè)數(shù)據(jù)將會(huì)是2021年的三倍。

軟件供應(yīng)鏈，哪個(gè)環(huán)節(jié)掉鏈了?

您是否被以下問題困擾:

企業(yè)使用的軟件因軟件供應(yīng)鏈漏洞易被攻陷軟件工程包含開源組件、開源代碼存在風(fēng)險(xiǎn)

無法快速定位自家軟件的組件的0day漏洞

●? 事前 無法提前感知

截至2023年9月，Sonatype《軟件供應(yīng)鏈狀況》報(bào)告顯示，研究團(tuán)隊(duì)共發(fā)現(xiàn)了245，032個(gè)惡意軟件包，是往年總和的2倍。八分之一的開源下載存在已知風(fēng)險(xiǎn)，且仍有23% 的 Log4j 下載存在嚴(yán)重漏洞?？梢?，大多數(shù)企業(yè)在業(yè)務(wù)上線前，是無法提前感知研發(fā)流水線中開源組件/代碼的安全問題。在軟件應(yīng)用生命周期里，修復(fù)漏洞的成本隨著發(fā)現(xiàn)漏洞階段的進(jìn)程呈幾何級(jí)數(shù)增長(zhǎng)，傳統(tǒng)的漏洞檢測(cè)方法通常只能在業(yè)務(wù)系統(tǒng)開發(fā)完成后才能介入，這導(dǎo)致漏洞的修復(fù)成本高昂，甚至很多漏洞在安全事件發(fā)生后才會(huì)被發(fā)現(xiàn)及修正。

●? 事中?無法快速響應(yīng)

重保響應(yīng)中，企業(yè)往往難以迅速定位哪些業(yè)務(wù)應(yīng)用程序中包含0Day漏洞或供應(yīng)鏈中的惡意組件，而供應(yīng)鏈投毒則涉及到在軟件或硬件的供應(yīng)鏈中植入惡意代碼，這樣的行為可能在產(chǎn)品分發(fā)之前就已經(jīng)發(fā)生，使得傳統(tǒng)的安全措施難以發(fā)現(xiàn)。

●? 事后?核心業(yè)務(wù)容易破防

與過去相比，現(xiàn)代網(wǎng)絡(luò)系統(tǒng)環(huán)境變得更加復(fù)雜，許多組織現(xiàn)在依賴于智能化、云服務(wù)和開源技術(shù)。業(yè)務(wù)運(yùn)營(yíng)涉及眾多參與者，使得供應(yīng)鏈管理變得更加復(fù)雜。隨著越來越多的第三方外包公司參與到供應(yīng)鏈中，供應(yīng)鏈的鏈條變得更長(zhǎng)。任何環(huán)節(jié)的數(shù)據(jù)泄露、惡意代碼注入或服務(wù)中斷都可能對(duì)整個(gè)供應(yīng)鏈造成嚴(yán)重破壞，企業(yè)核心業(yè)務(wù)因此破防。鑒于軟件供應(yīng)鏈安全問題涉及到層面過于復(fù)雜，有來自開源組件使用問題，典型如log4j組件漏洞、xz組件漏洞，有上游的管理權(quán)限問題，也有自身代碼問題等，這條鏈子上但凡哪一環(huán)節(jié)出現(xiàn)問題，都會(huì)危害整個(gè)鏈路安全。因此，如何一鍵護(hù)航軟件供應(yīng)鏈，快準(zhǔn)狠確保使用的組件安全，成為安全廠商的重要課題。

場(chǎng)景落地打造“共贏鏈”

●? 風(fēng)險(xiǎn)源強(qiáng)把控

將安全插件集成到軟件開發(fā)生命周期（SDLC）和研發(fā)流程中，推動(dòng)“安全左移”策略的實(shí)施。在發(fā)布前對(duì)發(fā)布包進(jìn)行安全檢查，以保證軟件的安全性和合規(guī)性，確保發(fā)布流程中的關(guān)鍵安全檢查點(diǎn)得到有效建立。

●? 自查風(fēng)險(xiǎn)修復(fù)

主動(dòng)掃描軟件供應(yīng)鏈中使用的第三方組件和開源軟件，監(jiān)控整個(gè)供應(yīng)鏈的安全性。將不同供應(yīng)商的系統(tǒng)和應(yīng)用集成后，進(jìn)行統(tǒng)一的安全測(cè)試，厘清責(zé)任歸屬，實(shí)現(xiàn)比較準(zhǔn)確的漏洞掃描，并提供專業(yè)的漏洞修復(fù)方案。

●? 敏感信息收斂

支持對(duì)密鑰、設(shè)備、通用敏感信息等多個(gè)敏感項(xiàng)的檢查，并對(duì)系統(tǒng)中的網(wǎng)絡(luò)、服務(wù)、文件、進(jìn)程、權(quán)限等進(jìn)行安全審計(jì)，以降低信息泄露和非法利用的風(fēng)險(xiǎn)。

●? 快速定位響應(yīng)

通過實(shí)現(xiàn)函數(shù)級(jí)別的分析，主動(dòng)評(píng)估合規(guī)風(fēng)險(xiǎn)，確保軟件供應(yīng)鏈的每個(gè)環(huán)節(jié)都滿足可追溯性和完整性的要求。利用軟件物料清單（SBOM）提高軟件的透明度，有效識(shí)別易受攻擊的組件，從而增強(qiáng)快速響應(yīng)能力。

覆蓋SDLC全流程上線暢通“供應(yīng)鏈”

事實(shí)上，軟件供應(yīng)鏈問題涉及人員素質(zhì)、操作流程及安全意識(shí)等多個(gè)維度，并非僅是技術(shù)層面的問題。面對(duì)軟件開發(fā)流程中的供應(yīng)鏈安全威脅，需要將軟件供應(yīng)鏈安全風(fēng)險(xiǎn)與軟件開發(fā)生命周期（SDLC）緊密結(jié)合起來考慮，確保安全實(shí)踐與開發(fā)流程緊密結(jié)合。

騰訊軟件供應(yīng)鏈方案覆蓋SDLC全流程上線，強(qiáng)調(diào)始終使用安全組件的重要性，以確保風(fēng)險(xiǎn)能夠首先時(shí)間得到控制。它包括建立軟件安全準(zhǔn)入體系、開發(fā)運(yùn)營(yíng)風(fēng)險(xiǎn)管控和合規(guī)、風(fēng)險(xiǎn)與隱私管控三大方面，以及軟件準(zhǔn)入、開源管理、軟件依賴、漏洞管理、版本管理、來源管理和威脅情報(bào)等七個(gè)關(guān)鍵環(huán)節(jié)，從代碼托管、代碼編寫、單元測(cè)試、構(gòu)建部署、集成測(cè)試、制品管理和持續(xù)部署等整鏈環(huán)環(huán)相扣，為軟件供應(yīng)鏈運(yùn)行保駕護(hù)航，是企業(yè)的等保合規(guī)利器。

●? 重保期間，騰訊安全軟件成分分析工具限時(shí)贈(zèng)送試用流量:

●? 更多個(gè)性私有化方案歡迎通過產(chǎn)品官網(wǎng)聯(lián)系騰訊安全團(tuán)隊(duì)!

（推廣）