在当今数字化时代,软件供应链安全已成为信息安全领域的重要议题,国内外政策与标准在这一领域的制定与实施,直接影响着软件供应链的安全管理与控制水平。作为《2023软件供应链安全研究报告》系列中的第三篇文章,本文将围绕国内外相关标准及政策相关内容,对部分单位在软件供应链管理方面的实践内容进行分享,并通过分析其中存在的突出问题给出相应对策与建议,为软件供应链的安全发展提供思路,助力企业应对数字化转型过程中的挑战。
国内外软件供应链安全相关标准、政策要求解读
(一)国外相关政策、标准
1、国外相关政策
在全球范围内,随着开源软件在社会各个领域的普及和重要性的不断提升,软件供应链的复杂性和关联性也不断增加,其安全问题日益突出,成为数字化时代亟需解决的重要挑战之一。面对日益复杂的软件供应链生态系统,全球主要国家和地区纷纷制定了相关政策法规,以加强软件供应链的安全性和可信度。以下列示部分政策:
美国:备忘录(M-22-18)《通过安全的软件开发实践增强软件供应链的安全性》
欧盟:提案《关于具有数字元素的产品的横向网络安全要求的法案》(《网络弹性法案》)
英国:《供应链安全指南》
这些政策的诞生和发展,反映了对开源软件安全问题的高度重视和紧迫性。美国、欧盟、英国等国家和地区通过提案、指南等文件,提出了一系列针对软件开源供应链安全的要求,其中,美国的备忘录(M-22-18)强调了通过安全的软件开发实践来增强软件供应链的安全性,欧盟则提出了《网络弹性法案》,旨在建立一个统一的法律框架,确保数字元素产品的网络安全。此外,英国国家网络安全中心发布了《供应链安全指南》,帮助组织评估其供应链的网络安全并提高抵御能力。通过这些政策的推行不仅提升了软件供应链的整体安全水平,也为其带来了更为健康和可持续的发展环境。通过规范和加强软件供应链的安全管理和控制,有助于降低开源软件安全风险,保障用户信息和数据的安全,推动数字化时代的可持续发展。
2、国外相关标准
在软件供应链安全领域,国际标准组织针对相关标准的制定和完善已经取得了显著进展,涵盖了从供应商关系到开放可信技术提供商、从供应链安全管理到联邦信息系统供应链风险管理等方面。以下列示部分标准:
ISO/IEC 27036《信息技术 安全技术供应商关系的信息安全》系列标准
ISO/IEC 20243《信息技术 开放可信技术提供商标准 减少恶意和仿冒组件》系列标准
ISO 28000《供应链安全管理体系规范》
NIST SP 800-161《联邦信息系统和组织的供应链风险管理实践》
这些标准的制定源于国际对信息安全风险的关注,ISO/IEC 27036系列标准涵盖了供应商关系的信息安全指南,ISO/IEC 20243系列标准和ISO 28000标准也为供应链安全提供了规范,分别关注于减少风险违法以及建立供应链安全管理体系,美国国家标准技术研究院(NIST)的SP 800-161标准则践行于联邦信息系统和组织的供应链管理实践。当前,这些国际标准的支撑不仅提升了软件开源供应链的整体安全水平,保障供应链各方在业务交互中的信息安全,同时也引导了整个行业的更为健康和可持续的发展环境。
(二)国内相关政策、标准
1、国内相关政策
我国对供应链安全的重视逐年加强,相关政策法规也在逐渐完善过程中。尤其在关键信息基础设施供应链安全方面,我国提出了一系列政策措施,完善加强供应链安全体系的管理。目前,我国政府在支持数字技术开源社区发展、加强关键技术创新能力、深化国家软件发展战略等方面已经取得了一定进展,对于运营方及提供商提出了相关要求。以下是我国部分相关政策的介绍:
《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》:提出支持数字技术开源社区等创新联合体发展,完善开源知识产权和法律体系,鼓励企业开放软件源代码、硬件设计和应用服务。
《“十四五”数字经济发展规划》:提出增强关键技术创新能力,支持具有自主核心技术的开源社区、开源平台、开源项目发展,推动创新资源共建共享,促进创新模式开放化演进,鼓励新型协作平台的发展。
《“十四五”软件和信息技术服务业发展规划》:提出深入实施国家软件发展战略,加强软件供给能力,加快繁荣开源生态,提高产业链供应链现代化水平。
《网络安全产业高质量发展三年行动计划(2021-2023年)》:提出加强共性基础支撑,加快软件供应链安全工具的发展,提升网络安全产品安全开发水平。
《关键信息基础设施安全保护条例》:明确指出优先采购安全可信的网络产品和服务,并对可能影响国家安全的产品和服务进行安全审查。
《网络安全法》:明确要求关键信息基础设施的运营者采购网络产品和服务应通过国家安全审查,并与提供者签订安全保密协议。
《网络安全审查办法》:强调对关键信息基础设施运营者采购网络产品和服务的安全审查,以维护国家安全。
《云计算服务安全评估办法》:要求重点评估云平台技术、产品和服务供应链安全情况,以确保云计算服务的安全可靠性。
2、国内相关标准
国内针对软件供应链安全的标准体系也在逐步完善中。这些标准旨在规范软件供应链的安全管理和控制,从而降低安全风险,保障用户数据安全,推动数字化时代的可持续发展。标准涵盖了软件供应链各个环节的安全要求,包括组织管理、开发、交付、使用等方面。这些标准的制定为我国软件开源供应链的安全发展提供了重要保障,为构建更加健康、可持续的数字化发展环境奠定了坚实的基础。以下是我国部分相关标准的展示:
《GB/T 36637-2018网络安全技术 ICT供应链安全风险管理指南》(现行)
《GB/T 40753-2021供应链安全管理体系 ISO 28000实施指南》(现行)
《GB/T 43698-2024网络安全技术 软件供应链安全要求》(即将实施)
《信息安全技术 关键信息基础设施信息技术产品供应链安全要求》 (正在审查)
其中,《GB/T 43698-2024网络安全技术 软件供应链安全要求》是为贯彻落实国家有关法律法规的要求,建立软件供应链安全风险管理能力体系,增强软件供应链安全风险管理、组织管理和供应活动管理能力,由中国信息安全测评中心牵头研制的国家标准。
该标准确立了软件供应链安全目标,规定了软件供应链安全风险管理要求、供需双方的组织管理和供应活动管理安全要求。适用于指导软件供应链中的供需双方开展风险管理、组织管理和供应活动管理,为第三方机构开展软件供应链安全检测和评估提供依据,也可为主管监管部门提供参考。
保障软件供应链安全能力评估及安全管理实践
(一)软件供应链安全能力评估
1、服务目标及内容
为协助企业、用户建立软件供应链安全风险管理能力体系,增强软件供应链安全风险管理、组织管理和供应活动管理能力,保障业务持续稳定安全运行,中国软件评测中心(工业和信息化部软件与集成电路促进中心)依据GB/T 43698—2024《网络安全技术 软件供应链安全要求》及CCID-JF-07020-2023《软件供应链安全能力测评规范》开展了软件供应链安全能力认证工作,该认证服务已在国家认证认可监督管理委员会备案,颁发的认证证书能够在全国认证认可信息公共服务平台查询。
2、服务案例
目前,已有云计算、操作系统领域头部企业的多款软件产品获得了软件供应链安全能力认证,获得软件供应链安全能力认证的产品和单位名称如下:
产品名称
研发单位
华为云 Stack V8
华为云计算技术有限公司
华为云软件开发生产线CodeArts V2
华为云计算技术有限公司
华为云 Stack Online V2
华为云计算技术有限公司
飞天企业版软件 V3.0
阿里云计算有限公司
银河麒麟高级服务器操作系统 V10
麒麟软件有限公司
统信服务器操作系统 V20
统信软件技术有限公司
统信桌面操作系统 V20
统信软件技术有限公司
(二)华能集团招标公司
1、华能集团采购活动中的供应链管理
华能招标有限公司(以下简称“招标公司”)在本次软件供应链安全管理标准试点中的工作主要围绕制定办法,明确要求以及形成软件供应链安全图谱,持续管控风险两方面展开。
2、“以密码为软件信任之基”华能软件供应链安全方案
华能集团在结合密码技术的基础上,利用对称加密、不对称加密、数字签名等途径,保障软件可鉴别、可追溯和可审计。
方案中华能集团提出密码在软件全生命周期中的供应链安全保障技术框架。同时,具备密码定义软件身份,兼顾密码自身的供应链安全等特点。
(二)麒麟软件
2022年11月麒麟软件有限公司作为首批标准试点单位参与对国标条款的验证工作。试点期间,麒麟软件重点对产品的安全开发过程、上游组件、交付时软件的安全状态、交付方式等进行验证,明确了国标对机构管理、制度管理、人员管理、供应商管理、知识产权管理、软件采购、外部组件使用、软件交付、软件运维、软件废止、软件供应链安全风险、软件构成图谱等方面的要求。同时,为应对供应链安全方面新的挑战,麒麟软件从多方面加强供应链安全风险控制。
(三)统信软件
统信软件作为基础软件供应商,在软件供应链安全管理要求国标试点过程中,结合SDL最佳实践,通过安全左移在产品研发全过程的多个阶段消除了安全隐患,降低了安全风险,提供了对产品安全性的持续保障。就安全开发与运维过程中的多个阶段,统信软件均采取相关的安全实践。
(四)国泰君安
国泰君安根据公司开源技术使用情况,结合行业内开源治理痛点问题,提高安全治理效率,通过一系列流程制度和平台化建设,完成了开源组织架构配置,制定了开源治理管理办法,搭建开源软件治理平台,构建开源软件评估体系,规范了新增开源软件流程,提升了软件供应链全流程闭环治理能力,使软件供应链安全得到极大保障,有效防范软件供应链风险事件的发生,支撑业务发展,促进了能力整合,实现公司内部信息共享共治。
(五) 中国联通
中国联通数字化研发平台立足于软件研发的全生命周期管理,对软件供应链安全多方面进行研究与应用,构建涵盖信创的多场景软件供应链安全分析与检测集成测试平台,保障数字关键基础设施安全稳定。实现了安全研发运营一体化全周期管控、构建了软件组件分析与漏洞检测机制,能提供自动分析、自主决策能力,纳管代码2.2万个仓库、52亿行代码,代码检测覆盖率达90%、组件成分分析超11.7万,19万依赖包100%通过流水线门禁检查。
(六)中科院软件所
2021年3月,中国科学院软件研究所在南京启动建设“源图”开源软件供应链重大基础设施,建设国内首个开源软件采集存储、开发测试、集成发布、运维升级等一体化设施,打造服务全球的开源代码知识图谱和开源软件供应链体系,保障我国软件供给安全和产业高质量发展。
(七)北京航空航天大学开源基础软件供应链安全风险分析
OpenEuler(欧拉操作系统)是一个开源、免费的Linux发行版平台,是全球开发者最关注的开源项目之一。为分析OpenEuler操作系统的供应链安全风险,北航软件学院研究团队分析了其软件包相关数据以及社区信息数据,并利用相关数据和图数据库构建OpenEuler操作系统的供应链知识图谱。最后基于OpenEuler知识图谱、安全风险节点分析等研究,团队实现了面向OpenEuler软件包供应链的分析系统,从而支持对OpenEuler软件包依赖结构的可视化呈现、潜在安全风险的预警,为保证OpenEuler操作系统的稳定性、安全性和可靠性提供新的解决方案。
软件供应链安全管理方面存在的突出问题和对策建议
(一)供需双方在关键供应链安全管理方面存在的问题
1、软件需方问题
在软件供应链安全管理中,对标国标,需方面临的问题主要包括组织架构缺失、制度缺失、供应商管理缺失以及供应活动管理缺失等。
2、软件供方问题
在软件供应链安全管理中,对标国标,供方面临的问题主要包括组织架构缺失、制度管理缺失和基础设施缺失等。
(二)对策建议
受国际环境影响,今天全球的开源软件供应链并不“安全”,加强我国自主开源生态建设和开源软件供应链安全基础设施建设是加强软件供应链安全管理的重要因素。对于开源生态的安全问题,需要共建一个开源安全生态伴随成长,这其中既需要从体系性规划建设做好顶层设计,从需方、供方两方面进行系统性管理要求,也需要进行技术产品的研发加强,以应对没有特定责任主体的开源社区及开源项目出现的问题。
我们目前还需加强对软件供应链安全方面的重视和相关政策、标准的制定与推广。
1、加强软件供应链安全的顶层设计
要加强软件供应链安全相关法律法规、政策标准的制定。以国标为基础,细化政策要求,制定软件供应链安全规划和政策,明确安全要求、流程和责任。应建立一套完善的供应链安全评估机制,制定统一的评估标准和指标,明确评估内容及评估方法等等。需加快供应链安全基础设施建设,提升行业共性支撑能力,以提高整体供应链安全水平。同时,需要在实践中不断丰富和完善国标内涵和外延。
2、加强软件供应链安全的生态建设
构建软件供应链安全生态系统,各方应积极参与,形成协同作战的生态体系,建立可信赖、可传递的供应链合作伙伴关系。鼓励信息共享、技术创新和最佳实践的推广,与供应商、合作伙伴和其他利益相关者建立持久的关系。通过最佳实践分享、评选奖励等方式,积极宣扬开源安全治理理念,培养开发者开源安全治理意识和习惯。守护国内开源生态,全面开展开源漏洞挖掘工作。与一般事件型漏洞相比,开源软件的通用型漏洞影响面更广,危害更大。
3、提升安全意识,建设相关单位软件供应链安全体系
相关单位应按国标要求,设立专门的软件供应链安全管理组织机构或人员,负责企业软件供应链的安全管理。
在软件开发和交付的进程中,为了更好地融合软件供应链安全(SSCS),产生了一种新的概念——DevSSCSOps,即将软件供应链安全嵌入DevOps文化的演进。
对软件供应链的复杂性来说,确保每个环节的安全可信至关重要,将软件供应链安全嵌入DevOps文化不仅是为了应对当下的复杂威胁,也是为了保障用户信任、满足法规要求,并使企业在数字化转型中能够更加灵活和可持续。这一趋势的发展是迎合数字化时代需求的必然选择。
4、加强软件供应链安全底层技术和新技术的研发
本报告建议,对软件供应链安全密切相关的几项关键技术及产品,应加大新技术的应用、加大产品研发力度、加大产业化标准化程度,以更好的支撑软件供应链安全的管理要求。
软件组成成分分析要加强多维度的成分检测能力,要提供持续的数据更新维护,成分分析的数据结果,应与国家标准相兼容统一。
漏洞数据库应建设行业共性数据平台,提高数据的准确性和可用性,反映最新的安全漏洞趋势。
将人工智能特别是大规模机器学习模型引入开源漏洞的挖掘、管理和修复过程,是一项具有挑战性的任务,但将发挥巨大的作用。大模型在开源漏洞挖掘中的应用可以提高挖掘效率、准确性和适用性。这样的技术手段将成为未来漏洞挖掘和软件供应链安全的关键工具,有望在推动整个安全生态系统的发展中发挥重要作用。
研究发展依赖更新与项目代码自动适配技术。开源安全技术需要能够自动化检测依赖更新,同时对项目代码进行自动适配,如删除API的替换API查找、不兼容API检测、代码自动重构等。
5、加快开源人才培养
全面开展开源安全教育与人才储备建设。建立产学研一体化开源创新人才培养体系。积极连接企业、高校、开发者,推动创新人才的挖掘和培养,建立开源人才发现、选拔机制,建立全面的开源人才生态系统,以满足产业对开源人才的需求。
至此,《2023软件供应链安全研究报告》系列已连载完成,由于本篇内容知识点较多,故特对文章中企业软件供应链安全管理实践部分进行了精简,但在后续文章中将对内容进行进行完整推送,您可关注后续发文,或通过查看研究报告来获得完整内容。