軟件供應鏈攻擊正成為一種常見的非法獲取商業(yè)信息的犯罪形式。有研究數(shù)據(jù)顯示，現(xiàn)代軟件系統(tǒng)的底層代碼中超過90%都是開源的，這意味著幾乎所有軟件的研發(fā)與應用都存在著一條供應鏈，包括各種組件的引用，以及在軟件設(shè)計、開發(fā)、測試、部署和維護期間所涉及的各種環(huán)節(jié)，安全漏洞隨時可能出現(xiàn)。

由于在企業(yè)軟件供應鏈中可能導致安全風險的因素非常復雜，因此保障軟件供應鏈安全并非純粹的技術(shù)性問題，而是要綜合考慮人、流程和知識的問題。企業(yè)組織在解決軟件供應鏈安全問題時，需要基于軟件應用的全生命周期來考慮，監(jiān)控和保護其中的每個環(huán)節(jié)。

近日，《福布斯》雜志技術(shù)委員會的多位安全專家就現(xiàn)代企業(yè)組織如何構(gòu)建安全軟件供應鏈進行了研討，并給出了12條加強軟件應用安全的實用建議。

建議1制定供應鏈安全計劃，由CISO負責

保障軟件供應鏈安全不只是某個部門的事，而是需要成為企業(yè)整體發(fā)展戰(zhàn)略計劃的一部分，并讓左右人都能理解這樣做的原因。為了確保軟件供應鏈順暢平穩(wěn)運行，組織首先要做的一件事就是制定一項嚴密的安全防護計劃，并聘請專職的首席安全官（CISO）來制定和落地這項計劃，而不是只是將計劃發(fā)布出來而已。

建議2確保供應鏈的可觀察性

很多企業(yè)長期以來只關(guān)注自身網(wǎng)絡(luò)安全的防護，而忽略了供應商產(chǎn)品的安全狀況，導致未經(jīng)過嚴格安全認證與審核的訪問進入企業(yè)，帶來巨大風險。確保供應鏈的可觀察性必不可少，軟件供應鏈天然具有復雜性，只有通過持續(xù)的監(jiān)控分析，企業(yè)才能保證它們的安全進化和發(fā)展，并確保長期可用性和安全性。

建議3部署軟件供應鏈管理系統(tǒng)

大多數(shù)企業(yè)對開發(fā)人員在研發(fā)時的開源代碼引用和軟件依賴關(guān)系缺乏足夠了解。如果不能有效清點軟件中的所有第三方組件，當嚴重的零日漏洞突然發(fā)生時，組織將無法了解自己是否會受到影響，哪些應用會受到影響，以及影響的嚴重性如何。如果組織部署了軟件供應鏈管理系統(tǒng)，就能夠準確判斷威脅態(tài)勢，并立即開始補救，避免安全事件發(fā)生。

建議4基于SBOM制定分類計劃

軟件材料清單（SBOM）最近備受行業(yè)關(guān)注，但應用SBOM只是基礎(chǔ)，目的是可以了解軟件產(chǎn)品的各個組成部分。更關(guān)鍵的是，企業(yè)應該基于已發(fā)現(xiàn)漏洞情報信息進行威脅分析，對識別出的各種威脅進行分類，并以此創(chuàng)建威脅處置流程。通過不斷重復上述工作，企業(yè)還可以不斷完善威脅處置流程。

建議5運用零信任策略

企業(yè)組織在構(gòu)建安全軟件供應鏈時，積極運用零信任策略是一項非常實用的保障措施。在供應鏈合作中，通過遵循零信任原則，企業(yè)可以更好審核供應鏈服務的安全性，所有對于系統(tǒng)的訪問都會建立在身份、端點、服務等一系列角色基礎(chǔ)上，必須得到安全策略一致的驗證和授權(quán)之后才能進行。

建議6將安全檢查融入開發(fā)流程

企業(yè)應重視開發(fā)安全運營（DevSecOps）。一種方法是將安全檢查工作列為開發(fā)人員必須完成的任務之一。無論是軟件設(shè)計過程中的威脅建模、錯誤修復，還是封堵代碼中的安全漏洞，應用安全問題都需要被開發(fā)人員優(yōu)先考慮，并成為其日常開發(fā)工作的一部分。如果這部分工作要求沒有完成，就意味著其整個開發(fā)工作不能結(jié)項。

建議7及時進行補丁更新

及時進行安全補丁和軟件版本更新是構(gòu)建安全軟件供應鏈的重要步驟。為了保證第三方軟件及開發(fā)者值得信賴，在部署安全補丁和版本升級之前，還需要有適當?shù)拇胧﹣韺ζ溥M行安全審查和監(jiān)控。

建議8貫徹安全編程和測試實踐

企業(yè)在構(gòu)建安全軟件供應鏈時應該貫徹安全編程和測試實踐，因為它有助于在開發(fā)過程的早期階段識別和緩解安全漏洞，保護整個軟件系統(tǒng)免受攻擊。這一點很重要，因為軟件供應鏈往往涉及多個第三方合作伙伴，所有開發(fā)團隊及人員均應該保持一直的安全編程要求。

建議9定期進行離線代碼備份

科學的備份機制是防止數(shù)據(jù)竊取和勒索攻擊的最后一條防線。如果企業(yè)大量應用了云計算技術(shù)，定期進行離線代碼備份工作將非常重要。企業(yè)應該定期審查軟件服務提供商，尤其是提供關(guān)鍵應用組件、銷售系統(tǒng)、財務系統(tǒng)的提供商。一旦發(fā)現(xiàn)存在風險，就應該及時手動執(zhí)行離線的數(shù)據(jù)備份或數(shù)據(jù)恢復。

建議10制作一份檢查清單

企業(yè)了解軟件供應鏈是否安全的最好方法就是制作一份檢查清單，并以此進行安全狀態(tài)檢查。檢查清單可以讓每個人都成為安全把關(guān)員，從而打造一條安全的軟件供應鏈。不同類型企業(yè)對供應鏈安全檢查的要求會有差異，但清單通常應包括以下8個檢查點：訪問控制、安全存儲、加密、安全傳輸、漏洞管理、定期更新、跟蹤系統(tǒng)和糾正措施。

建議11應用安全協(xié)作平臺

軟件系統(tǒng)的安全性取決于其生命周期中的最薄弱環(huán)節(jié)。隨著現(xiàn)代軟件供應鏈的全球化趨勢發(fā)展，跨不同平臺和多個數(shù)據(jù)集進行協(xié)作開發(fā)的需求急劇加大。雖然許多企業(yè)組織已采用了基于云的協(xié)作開發(fā)平臺，但目前軟件供應鏈上協(xié)同溝通的最常見方式還通過郵件、電子表格和社交工具。企業(yè)應該購置統(tǒng)一的安全開發(fā)協(xié)作平臺來降低隱患。

建議12加強工程師的安全教育

保障數(shù)字化業(yè)務的安全開展已經(jīng)得到業(yè)界普遍認同，企業(yè)組織也正在投入很多資源打造安全的軟件供應鏈，并取得了一定的進展，但人依然是整個軟件供應鏈中最薄弱的因素。因此，企業(yè)需要加強內(nèi)、外部軟件工程師的安全意識教育，幫助他們提高對新工具、新技術(shù)和新威脅的認識。