“97％的金融服務/金融科技行業代碼庫包含開源，其中超過60％的代碼庫存在漏洞。”根據公開數據顯示，金融行業的軟件供應鍊安全形勢十分嚴峻，從源頭解決軟件開發安全問題、實現安全左移勢在必行。

供應鍊安全風險繁雜 涵蓋技術、管理等多個環節

近年來，國内外供應鍊安全事件屢見不鮮，例如大家所熟知的SolarWinds事件等，導緻包括美國關基、軍隊、政府在内的18000多家客戶全部受到影響，成為年度最嚴重的供應鍊安全事件。在國内，部分軟件供應商在開發過程中缺少安全活動，或供應商自身存在網絡安全缺陷，進而導緻的源代碼洩露、運維權限洩露，直接影響了最終用戶的引用系統安全性。

軟件供應鍊安全影響重大，各國紛紛推行政策法規推動軟件供應鍊安全保護工作。2021 年 5 月 12 日，美國總統拜登簽署發布《改善國家網絡安全行政令》，明确提出改善軟件供應鍊安全，要求構建更有彈性且安全的軟件供應鍊環境，确保美國的國家安全。同年 7 月，美國國家标準與技術所（NIST）發布《開發者軟件驗證最低标準指南》，進一步為加強軟件供應鍊安全加碼。

我國對軟件供應鍊安全問題也給予了高度重視，除了等保2.0等标準要求之外，今年有多個重點行業推出針對供應鍊安全的詳細工作要求。

奇安信安全專家認為，供應鍊的安全風險很繁雜，這些風險來自軟件開發、集成交付、運維運營等環節，也可能來自提供咨詢、系統集成、運維測評等服務的服務商。這些風險大體上可以歸納成兩個大類，第一類是軟件産品本身的安全隐患，例如開源組件缺陷、軟件漏洞等；第二類是軟硬件産品服務提供商自身存在的安全隐患，例如重要系統端口暴露、弱口令、人員權限管理不善等。攻擊者可以利用上述的兩類隐患，通過植入、替換、源代碼分析、跳闆攻擊等手法，實現對應用系統的攻擊。

供應鍊安全建設涉及企業和組織内的多個部門，除了網絡安全部、項目建設、運維運營、質量管理等部門外，還涉及供應商管理、商務采購等部門。同時供應鍊安全建設也涉及管理制度、管理流程的設計和落地。

五大建議三項舉措 幫助重點行業應對供應鍊安全風險

結合上述背景，國家多個行業監管部門近期提出了對供應鍊安全風險的警示，并作出了工作部署和工作要求。針對供應鍊安全風險，奇安信總結了以下五個方面的建設意見。

第一是增強自身的風險防範意識，提高對供應鍊安全關注。組織内部相關部門學習供應鍊安全知識，了解軟件供應鍊風險。建設涵蓋代碼檢測、開源檢測、軟件成分分析、軟件行為分析、滲透測試在内的安全檢測能力，并以上述檢測能力，支持風險評估和審計工作。

第二是明确供應鍊安全責任部門和流程。這裡既要明确供應鍊安全的核心責任部門，也需要明确相關部門的責任。同時根據自己的業務特點和既有的業務流程，制定供應鍊安全的管理制度、管理流程和應急響應預案。

第三是建立供應商安全評估能力體系，建立開源組件檢測能力和開源情報系統。供應商安全評估能力體系至少包括了兩部分的内容，一個是供應商安全能力要求，另一個是供應商安全審查的機制。特别是要求供應商建設開源組件分析能力，能提供開源組件台賬和開源風險情報，以及開源漏洞響應機制、漏洞修補的能力。

第四是建設軟件安全開發體系。在執行開發軟件系統和由供應商定制開發軟件系統兩個場景内，開發團隊應結合實際的開發流程，參考軟件安全開發的模型與最佳實踐，在開發流程中引入響應的安全活動。這些安全活動包括但是不限于安全需求分析、安全特性設計、安全編碼規範、安全測試、安全交付、安全運行等環節。這個過程中應重點關注開源組件的引入和管理，以及長期的漏洞檢測機制建設、安全事件響應機制建設。

第五是督促供應商加強自身的網絡安全建設。供應商應按照甲方要求，或參考等級保護等安全标準，建設建全自身的網絡安全管理機制和技術體系。防止供應商自身的信息安全隐患威脅到最終用戶的安全性。

針對廣大客戶在供應鍊安全領域遇到的安全問題，奇安信可以為客戶提供以下三類服務。

首先是咨詢規劃服務。奇安信結合自身的供應鍊安全實踐以及對監管政策的理解，和客戶一起，結合客戶的具體業務，為客戶打造符合自身實際情況的供應鍊管理制度、管理流程。包括供應商安全要求、供應商準入制度、供應商安全檢查制度、安全開發流程制度、安全編碼規範、供應鍊安全響應機制等。

其次是供應鍊安全相關能力。這其中包括源代碼審計能力、開源組件審計能力、開源漏洞情報、滲透測試能力、軟件安全分發、運行環境加固、權限管理、供應鍊安全攻防等，更廣泛的安全能力還包括為供應商建設完整的網絡安全體系。

最後是供應鍊安全相關标準和體系的落地。随着未來供應鍊相關标準的推出，奇安信也希望能與軟件開發方、使用方一起，打造支持相關标準和流程的具體落地的業務系統，例如安全開發管理平台、開源管理平台、供應鍊安全管理平台等。

“在網絡空間對抗不斷升級、數字化加速轉型、國家戰略推動、開源代碼被普遍使用的情況下，軟件供應鍊安全建設是大勢所趨。”此前，奇安信解決方案中心高級總監金多表示。接下來，奇安信願意與軟件使用方、開發商、服務商一起，結合行業背景與實際業務情況，遵照标準要求，助力金融等行業客戶共同打造更安全的軟件供應鍊體系。

本文源自金融界網

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!