“十问软件供应链安全”答案在线揭晓
时间:2024年11月28日
11月28日,“十问软件供应链安全”圆桌直播在线召开。安天代码安全中心的工程师们围绕软件供应链安全行业和实践场景中的十个典型问题,共同探寻解决方案,分享创新技术和实战经验,并展示了安天融川产品提升软件供应链安全工作效能的实操案例。以下为直播中具体探讨的问题及相关解答内容。
01如何从实际的业务场景视角看待软件供应链安全?
软件供应链体系复杂、暴露面多,作为信息系统的上游环节被攻击者利用,既可能带来长期隐蔽且难以察觉的攻击入口,也可能会引发大面积瘫痪失效的雪崩效应,造成不可估量的影响。
从我们现在实际服务客户的情况来看,目前对企业和机构业务影响最为直接和频繁的软件供应链安全问题,更多是集中在“整体软件代码安全工程能力较差”这个场景上,由于现阶段的开发人员普遍缺乏安全能力,所以无论是在自研环节,还是在引用开源代码组装功能的环节,都存在不够重视安全,或即使重视却又缺乏有效安全支撑的现象,进而导致了最终的软件本身极易存在脆弱性代码或被植入恶意代码,甚至直接可利用的后门等高危风险。
同时,在当今数字化信息系统建设过程中,也存在大量因建设周期短而导致安全性相比成熟产品未得广泛验证;以及在IT保障场景中,缺少完整的应用安全实时自动巡检与应急响应能力等情况。
只有务实地解决了眼下这三个最为现实重要的问题,特别是“整体软件代码安全工程能力较差”这个场景,才能构筑起保障软件供应链安全的基础,进而有效支撑业务的可持续稳定发展。
02典型软件供应链安全事件及背景解析?
近年来,软件供应链安全事件层出不穷,且每年呈倍数增长。2021年的Log4j“后门级”漏洞,使全球企业面临巨大的安全风险,修补过程因缺乏自动化手段而异常艰难。2022年,攻击者通过窃取开发者身份,向npm生态投递恶意组件,导致大量项目受到影响。当前软件开发过程中高度依赖开源项目和碎片化的代码,并且多方合作的项目导致上游的代码缺陷更难被发现,这凸显了“关口前移”在软件供应链安全中的重要性。
03哪些企业需要关注软件供应链安全?
软件厂商作为软件开发与漏洞修复的源头,是重点关注的对象。采购方则需对软件的漏洞、缺陷及恶意代码进行全面检测,在入网环节消除隐患。监督方负责推动安全标准的执行,以符合供应链安全的政策要求。检测机构则通过技术手段识别软件缺陷,为甲方和监督方提供可信的检测结果与安全建议。软件厂商、采购方、监督方和检测机构在保障供应链安全中,都扮演着重要角色。
04软件供应链安全工作的重点与挑战?
当前研发人员多专注于功能实现,缺乏安全能力,安全问题常被推迟到后期处理,导致高昂的修复成本。研发场景需要持续的漏洞检测与修复能力,而系统保障场景更加强调对软件资产的自动化排查和快速响应。而当前DevSecOps体系庞大,对于大多数研发场景落地成本高,且不适用于系统保障侧场景。
05安天融川产品目前的技术积淀与实战能力?
安天长期关注软件供应链安全,秉持“关口前移、防患于未然”的理念,系统性分析了研发防护薄弱、代码安全能力不足、政企供应链管理缺失等风险。融川集成了组件成分分析、静态应用测试、AVL引擎威胁检测和资产管理四大核心能力,全面覆盖软件供应链中的漏洞、恶意代码及缺陷组件。融川以“快”为核心,支持研发和保障场景的高效自动化排查,帮助企业快速识别与修复问题,实现“快敌一步”的安全响应。
06与传统人工方案相比,安天融川的产品优势?
融川通过清单文件和函数级相似度匹配两大模块,能够全面分析第三方代码成分,构建依赖关系,精准定位风险。同时融川具备代码安全分析能力,也能全面分析自研代码的安全问题。融川注重前移治理,与人工审计可结合,降低修复成本并补足代码审计盲区,为软件供应链安全构建更全面的体系。
▲ 融川核心优势
07安天融川产品接入场景的广泛度?
融川支持多种接入方式,包括上传文件检测、连接代码仓库、IDE插件检测,以及CI流水线自动触发检测等。同时,融川还能批量接入GitLab项目和分支,定时检测生成审计报告,助力团队建立常态化的软件供应链安全机制。
08安天融川产品应用场景的广泛度?
融川除了可应用于代码和第三方成分的安全测试,还可应用于自主可控测试,重点包括代码自研率检测和第三方组件断供风险评估。融川通过函数相似度分析,检测开源组件的安全性、来源可靠性及合规性,全面评估代码的自研水平。并且融川通过收集全球知名第三方组件信息,分析组件的来源、维护人员行为及可能的地缘政治风险,有效识别组件的断供风险,为项目的自主可控提供全面支持。
09安天融川产品如何保障漏洞知识的覆盖度和及时性?
安天凭借20多年威胁情报经验,建立了高效的漏洞捕获和分析能力,确保高危漏洞在24小时内捕获并推送。通过亿级函数信息索引和多维漏洞信息,融川实现了漏洞覆盖全面、更新及时、信息实用,为用户提供可靠支持。
▲ 融川知识信息库
10安天融川产品如何确保高危漏洞的应急能力?
融川具备台账化的管理能力,可以通过组件信息,快速定位到定位受影响的资产。对于高危漏洞,提供包括替换、升级和应急等高价值措施,帮助用户第一时间解决安全问题。同时融川还支持自动“巡检”,帮助用户百倍效率于传统人工方案。
安天在软件供应链安全防御方面具备深厚的技术积累与实战经验,曾主办第19届中国网络安全年会“供应链网空安全”分论坛,并多次在安全威胁年度报告中对供应链安全问题给予密切关注。安天将针对用户不同业务场景提供安全产品和服务,全面提升用户软件供应链安全治理能力。