政策对软件供应链安全合规性提出新要求

0收藏

0点赞

浏览量:1024

2021-08-05

举报

导读


《软件供应链安全白皮书(2021)》着重梳理了软件供应链的安全现状,透过现状全面剖析软件供应链的安全风险及面临的安全挑战,有针对性的提出如何对软件供应链的安全风险进行防范与治理,系统阐述了软件供应链安全的防护体系及软件供应链安全的应用实践以供参考。


近日,由中国信通院与悬镜安全联合编撰的《软件供应链安全白皮书(2021)》(以下简称“白皮书”)正式发布,白皮书包含五大部分:
  • 软件供应链概述
  • 软件供应链安全现状
  • 软件供应链风险分析
  • 软件供应链安全治理方法
  • 软件供应链安全应用实践

白皮书目录


白皮书对供应链安全相关政策合规要求现状做了解读:

随着网络安全形势的不断变化发展,在严峻的网络安全环境下,我国对软件供应链安全给予了高度的重视。2017 年 6 月,我国发布实施《网络产品和服务安全审查办法》,将软件产品测试、交付、技术支持过程中的供应链安全风险作为重点审查内容,并推动开展了云计算服务网络安全审查。

在 2020 年 4 月 27 日,国家互联网信息办公室等 12 个部门联合发布了《网络安全审查办法》,要求关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查,此政策的发布代表已明确将软件供应链安全带入到国内大众的视野中。

我国针对开源软件的发展也已出台了相关政策,特别是 2021 年在中国《“十四五”规划和二零三五年远景目标纲要》文件中,明确提出“支持数字技术开源社区等创新联合体发展,完善开源知识产权和法律体系,鼓励企业开放软件源代码、硬件设计和应用服务”,这是开源首次被写入国家总体规划纲要之中。

有观点认为,造成网络安全事件的主要原因之一是由于软件开发者在开发过程中对开发工具、 开发团队、开发生命周期和软件产品自身管理不当,致使软件存在着安全缺陷,破坏或影响最终用户的信息安全。白皮书分别从体系构建、设计、编码和发布运营四个阶段进行分析。首次公开了在软件生命周期的设计阶段,软件供应商风险管理流程与评估模型,同时重点强调了在编码阶段SBOM(软件物料清单)对缺陷管理的重要作用。



图:软件供应商评估模型


白皮书指出,根据软件供应链的定义,软件供应链安全可以被理解为软件生产的整个过程中软件设计与开发的各个阶段来自编码过程、工具、设备、供应商以及最终交付渠道所共同面临的安全问题。

对软件从业者来说,实际需要关注的是自身的软件产品开发过程和运营过程,也就是软件产品和产品运营这两个阶段,软件供应链中的原始组件和集成组件阶段的安全问题应由相应的组件供应商解决。

做个类比,假如我们需要生产一部手机,我们需要关注的是手机生产和上市运营。在生产手机过程发生前,我们需要选择可信的零部件供应商,从之购买合格的零部件,而并不需要接管供应商的生产流程,帮助供应商做质量管理。软件产 =品阶段和产品运营阶段的加总,实际上就是传统概念中的软件生命周期。软件生命周期可以划分为 4 个主要阶段:设计阶段、编码阶段、发布阶段、运营阶段(如图 2 所示)。这也是软件供应链安全治理中真正需要关注的部分。



白皮书指出,根据 Sonatype 发布的《2020 State of the Software Supply Chain》报告可以了解到(如图 5 所示),开发人员往往不能在漏洞披露的第一时间进行漏洞修复工作, 51% 的开发人员至少需要一个星期以上的时间才会对漏洞采取修复措施,这意味着攻击者有充分利用漏洞进行 攻击的时间,极大地增加了软件供应链的安全威胁。

图:软件供应链漏洞类型


由于互联网信息技术产业的高速发展和软件开发需求的急速扩增,导致软件开发的难度与复杂程度不断加大, 软件开发生命周期中的每一个环节都存在引入漏洞的可能性,导致软件供应链的安全风险无处不在,非法攻击者一旦对软件供应链中的任意环节进行攻击、篡改等,都将会引起最终软件供应链安全风险的连锁反应,产生巨大的安全危害。

值得一提的是,白皮书从实践案例的解读,为我们展示了三种软件供应链安全应用实践模型。还有很多结论性和指导性内容,欢迎扫码领取完整《软件供应链安全白皮书(2021)》白皮书:






(来源:数说安全)
(原文链接:https://mp.weixin.qq.com/s/LwYcVMTXMY5P2iGn-IlPLw)

发表评论

点击排行

工信部发布《车联网网络安全和数据安全标准体系建设指南》

车联网是新一代网络通信技术与汽车、电子、道路交通运输等领域深度融合的新兴产业形态,呈现蓬勃发展的良好...

《网络安全数据管理条例》解读

2021年11月14日,国家网信办发布了《网络安全数据管理条例》(征求意见稿)(以下简称《条例》),共九章七...

从我国现有法律法规谈重要数据定义

2021年结束了,年底回忆了一下这一年来自己做了些什么,印象最深的应该就是数据安全这个词。2021可以看做是...

网络犯罪案例分析-黑帽SEO(六)

关键词(1)破坏计算机信息系统罪(2)黑帽SEO(3)赌博网站引流基本案情被告人许柯,绰号“柯德平”、“柯不...

国家网信办拟规定:掌握超过100万用户个人信息运营者赴国外上市须审查

7月10日,国家互联网信息办公室发布关于《网络安全审查办法(修订草案征求意见稿)》公开征求意见的通知。...

《深圳经济特区数据条例》

(2021年6月29日深圳市第七届人民代表大会常务委员会第二次会议通过)目 录第一章 总 则第二章 个人数据第...

中央网络安全和信息化委员会印发《“十四五”国家信息化规划》(全文附下载)

近日,中央网络安全和信息化委员会印发《“十四五”国家信息化规划》(以下简称《规划》),对我国“十四五”时...

扫描二维码下载APP