信息化觀察網(wǎng)

隨著軟件產(chǎn)業(yè)的快速發(fā)展，現(xiàn)代軟件大多數(shù)是被“組裝”出來(lái)的，不是被“開(kāi)發(fā)”出來(lái)的。各類信息系統(tǒng)的軟件供應(yīng)鏈也越發(fā)復(fù)雜多元，復(fù)雜的軟件供應(yīng)鏈會(huì)引入一系列的安全問(wèn)題，導(dǎo)致信息系統(tǒng)的整體安全防護(hù)難度越來(lái)越大。如今軟件供應(yīng)鏈已經(jīng)成為國(guó)內(nèi)外對(duì)抗的焦點(diǎn)，直接影響關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)安全。

一、近期某軟件供應(yīng)鏈安全事件及原因分析

近期SonarQube軟件供應(yīng)鏈安全事件頻發(fā)，充分揭露出軟件開(kāi)發(fā)使用第三方組件，帶來(lái)了便利同時(shí)也帶來(lái)了巨大的軟件供應(yīng)鏈安全風(fēng)險(xiǎn)，直接影響到各行業(yè)安全健康發(fā)展。在“無(wú)科技不軟件”背景下，軟件新業(yè)態(tài)對(duì)關(guān)鍵核心技術(shù)的依賴程度越來(lái)越高，一旦供應(yīng)鏈某個(gè)環(huán)節(jié)出現(xiàn)問(wèn)題，將對(duì)我國(guó)各行業(yè)的安全造成重大影響。

事件詳情描述：

2021年10月，ATW黑客團(tuán)伙在境外論壇第一次出售我國(guó)單位相關(guān)系統(tǒng)的源代碼，并稱能直接訪問(wèn)到內(nèi)部系統(tǒng)。隨后該黑客組織又陸續(xù)發(fā)布我國(guó)多家重要單位的系統(tǒng)源代碼、用戶數(shù)據(jù)、數(shù)據(jù)庫(kù)，我們追蹤ATW活躍記錄，整理出以下時(shí)間軸：

深入分析ATW事件就會(huì)發(fā)現(xiàn)，此次持續(xù)性的源碼泄露事件根本原因在于各企業(yè)的SonarQube平臺(tái)被入侵。SonarQube系統(tǒng)在默認(rèn)配置下，會(huì)將通過(guò)審計(jì)的源代碼上傳至SonarQube平臺(tái)。攻擊者利用該漏洞，可在未授權(quán)的情況下獲取SonarQube平臺(tái)上的程序源代碼，輕松竊取項(xiàng)目源代碼數(shù)據(jù)。

進(jìn)一步講，此次事件不只是單純的代碼泄露事件或是攻擊事件，而是SonarQube平臺(tái)安全事件、乃至供應(yīng)鏈安全事件，這也再次反應(yīng)了我國(guó)供應(yīng)鏈安全的嚴(yán)峻現(xiàn)狀。

事實(shí)上，長(zhǎng)久以來(lái)，軟件供應(yīng)鏈安全的重要性和迫切性已逐漸被行業(yè)公認(rèn)，主要體現(xiàn)在以下幾個(gè)方面：

1）開(kāi)源軟件和第三方組件的使用遍布所有軟件中，第三方庫(kù)組件代碼量占全部軟件代碼量的80%以上。然而，第三方組件卻是黑客最容易利用的軟件，一旦某一個(gè)第三方組件漏洞被利用，使用該第三方組件的所有軟件都會(huì)被利用。

2）第三方組件庫(kù)主要在美國(guó)，Github作為最大的第三方代碼庫(kù)，幾乎囊括了90%以上的第三方開(kāi)源組件，我國(guó)管理機(jī)構(gòu)難以對(duì)其使用進(jìn)行安全審計(jì)，并建立合理的分發(fā)監(jiān)管制度。

3）源代碼是軟件的原始形態(tài)，位于軟件供應(yīng)鏈的源頭。源代碼安全已成為軟件供應(yīng)鏈安全的基礎(chǔ)，然而面對(duì)源代碼安全，主要依靠人工方式去檢測(cè)軟件供應(yīng)鏈中的風(fēng)險(xiǎn)，導(dǎo)致效率低，漏報(bào)高，且過(guò)度依賴海外產(chǎn)品，國(guó)內(nèi)缺乏可有效分析軟件成分、測(cè)量供應(yīng)鏈安全的技術(shù)和手段。

我國(guó)經(jīng)數(shù)年發(fā)展在軟件供應(yīng)鏈方面已取得一定成果，如開(kāi)源軟件基金會(huì)、軟件供應(yīng)鏈安全標(biāo)準(zhǔn)和管理辦法等。但目前我國(guó)在軟件供應(yīng)鏈安全方面的基礎(chǔ)比較薄弱，更缺乏一套極為關(guān)鍵的軟件供應(yīng)鏈安全檢測(cè)系統(tǒng)，能及時(shí)有效的發(fā)現(xiàn)、分析、處置、防護(hù)軟件供應(yīng)鏈安全風(fēng)險(xiǎn)，整體提升軟件供應(yīng)鏈安全水平。

二、國(guó)內(nèi)外軟件供應(yīng)鏈安全檢測(cè)技術(shù)研究進(jìn)展

（一）美國(guó)在軟件供應(yīng)鏈安全檢測(cè)技術(shù)上早有布局

美國(guó)國(guó)防部下屬的DARPA（美國(guó)國(guó)防高級(jí)研究計(jì)劃局）4年內(nèi)投入$59,000,000（約3.5億人民幣），來(lái)嘗試解決軟件供應(yīng)鏈安全檢測(cè)問(wèn)題。在2013年，DARPA高調(diào)發(fā)布一項(xiàng)旨在針對(duì)關(guān)鍵系統(tǒng)、軟件、固件進(jìn)行惡意軟件供應(yīng)鏈中的后門自動(dòng)檢測(cè)的項(xiàng)目—VET，時(shí)長(zhǎng)5年，參與方涵蓋主要軍工企業(yè)、高校。工業(yè)界近一兩年也開(kāi)始把目光投到軟件供應(yīng)鏈安全這個(gè)命題之上，雖然還沒(méi)有規(guī)?；难芯矿w系，但是從業(yè)界動(dòng)態(tài)上來(lái)看，主要大型研究機(jī)構(gòu)和企業(yè)已經(jīng)開(kāi)始了自己的研究和實(shí)踐。例如在作為安全行業(yè)業(yè)界風(fēng)向標(biāo)的美國(guó)RSA2018會(huì)議上，聚集了6場(chǎng)次關(guān)于軟件供應(yīng)鏈安全技術(shù)的主題演講，可見(jiàn)對(duì)這個(gè)方向可能爆發(fā)新型、重大安全威脅事件的預(yù)判是一線研究與企業(yè)一致的看法。

（二）我國(guó)在軟件供應(yīng)鏈安全檢測(cè)技術(shù)上有所嘗試

盡管國(guó)內(nèi)的安全對(duì)抗(CTF、DefCon)比賽層出不窮，比賽形式多種多樣,比賽數(shù)以千計(jì)，但本質(zhì)上都是手工方式的比賽，不是自動(dòng)化的方法。人自身的能力是比賽最大競(jìng)爭(zhēng)力，帶來(lái)的問(wèn)題是技術(shù)無(wú)法落地。為此，2018年阿里巴巴舉辦了軟件供應(yīng)鏈安全大賽，旨在通過(guò)自動(dòng)化的方式發(fā)現(xiàn)軟件中的后門，該比賽歷時(shí)1年，匯聚了國(guó)內(nèi)外多個(gè)著名戰(zhàn)隊(duì)，包括了中科院信工所的G15,北京大學(xué)的SeBOT、北航的Lancet、國(guó)防科大的Holiday、360等，比賽中藍(lán)軍戰(zhàn)隊(duì)模擬軟件供應(yīng)鏈中的“黑客”經(jīng)驗(yàn)在代碼中故意植入后門，而紅軍必須要采用全自動(dòng)的方法快速發(fā)現(xiàn)后門。該比賽受到了國(guó)內(nèi)外廣泛關(guān)注，是國(guó)內(nèi)第一次也是目前唯一一次采用軟件供應(yīng)鏈安全檢測(cè)的嘗試。阿里巴巴軟件供應(yīng)鏈安全比賽之后，盡管掀起了一股軟件供應(yīng)鏈安全檢測(cè)技術(shù)的熱風(fēng)，但由于在技術(shù)門檻高、完全自動(dòng)化運(yùn)行等特點(diǎn)，也導(dǎo)致了缺乏參與基礎(chǔ)，只有十幾個(gè)隊(duì)伍在參與。由此目前的軟件供應(yīng)鏈檢測(cè)技術(shù)還是停留在人工檢測(cè)水平，與美國(guó)相比相去甚遠(yuǎn)。

（三）技術(shù)門檻相對(duì)較高，國(guó)外工具在該領(lǐng)域處于壟斷

軟件供應(yīng)鏈安全檢測(cè)技術(shù)本質(zhì)上說(shuō)是代碼后門檢測(cè)的技術(shù)應(yīng)用，也就是代碼分析技術(shù)的應(yīng)用。代碼分析技術(shù)作為軟件編譯技術(shù)的分支，多年來(lái)處于國(guó)外壟斷狀態(tài)，因?yàn)槠鋵?duì)編譯技術(shù)基礎(chǔ)要求高，底層算法能力要求強(qiáng)。國(guó)內(nèi)已出現(xiàn)了一些廠商，典型的如核心源于北京大學(xué)的鴻漸科技、中科院的中科天齊、港科大的源傘等，由于國(guó)內(nèi)團(tuán)隊(duì)成立時(shí)間短，尚未形成足夠的積累完全取代國(guó)外工具。如新思的Coverity、BlackDuck、Perforce的Klocwork等。

軟件成分分析工具能夠在一定程度上解決第三方組件的安全檢測(cè)問(wèn)題，但目前大多數(shù)軟件開(kāi)發(fā)企業(yè)并沒(méi)有足夠重視，相關(guān)的標(biāo)準(zhǔn)也沒(méi)有強(qiáng)制實(shí)施。

從技術(shù)上看，目前國(guó)產(chǎn)軟件成分分析工具也和國(guó)外同類工具無(wú)論從檢測(cè)粒度、效率到庫(kù)的積累數(shù)量，均存在差距，需要一段時(shí)間技術(shù)沉淀。相對(duì)于軟件成分分析，代碼后門檢測(cè)技術(shù)我國(guó)基本處于起步階段，也沒(méi)有像美國(guó)DARPA這樣專項(xiàng)基金投入。國(guó)內(nèi)僅有的代碼分析技術(shù)團(tuán)隊(duì)，由于市場(chǎng)和政策等原因沒(méi)有在該方向發(fā)力，導(dǎo)致后門檢測(cè)目前均為手動(dòng)檢測(cè)，存在非常大的不確定性。

三、供應(yīng)鏈安全保障工作落地建議

當(dāng)前，非常多的安全服務(wù)企業(yè)已經(jīng)針對(duì)供應(yīng)鏈安全保障工作提出了詳細(xì)的可行建議，此處不再贅述基本流程，我們著重說(shuō)明以下兩點(diǎn)：

?供應(yīng)鏈安全下的DEVSECOPS和安全左移

實(shí)施任何工作和工具都不能獨(dú)立于組織原有流程之外，理想的供應(yīng)鏈安全保障工作應(yīng)該是借助自動(dòng)化工具，將工具工作流和安全管控工作流融入企業(yè)原有研發(fā)流程，從而實(shí)現(xiàn)安全左移達(dá)到安全問(wèn)題早發(fā)現(xiàn)的目標(biāo)，并支撐DEVSECOPS的建設(shè)以保障敏捷變更的安全。

?大型企業(yè)建立自己的可信代碼倉(cāng)庫(kù)

相對(duì)于檢測(cè)工作，建立組織的可信代碼倉(cāng)庫(kù)是一個(gè)夯實(shí)基礎(chǔ)、意義深遠(yuǎn)、去除大量重復(fù)工作的過(guò)程，這就要求對(duì)應(yīng)的自動(dòng)化工具具備可信組件識(shí)別、相似漏洞分析、漏洞影響范圍定位、洞悉組織資產(chǎn)清單、將漏洞發(fā)現(xiàn)和可信代碼倉(cāng)庫(kù)識(shí)別進(jìn)行整合閉環(huán)的能力。

四、相關(guān)政策

尤其是當(dāng)下中美戰(zhàn)略博弈越發(fā)復(fù)雜，國(guó)內(nèi)急迫突破國(guó)外技術(shù)壟斷。各單位部門也陸續(xù)出臺(tái)相關(guān)政策，共同保障供應(yīng)鏈安全工作，推進(jìn)國(guó)內(nèi)整個(gè)安全行業(yè)的高質(zhì)量發(fā)展。

（一）《關(guān)于規(guī)范金融業(yè)開(kāi)源技術(shù)應(yīng)用與發(fā)展的意見(jiàn)》

近期中央網(wǎng)信辦、工信部、人民銀行等部門發(fā)布《關(guān)于規(guī)范金融業(yè)開(kāi)源技術(shù)應(yīng)用與發(fā)展的意見(jiàn)》，進(jìn)一步規(guī)范金融機(jī)構(gòu)合理應(yīng)用開(kāi)源技術(shù)，提高應(yīng)用水平和自主可控能力。

（二）網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動(dòng)計(jì)劃（2021-2023年）（征求意見(jiàn)稿）

工信部網(wǎng)絡(luò)安全管理局發(fā)布網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展的三年行動(dòng)計(jì)劃征求意見(jiàn)稿，意見(jiàn)稿指出，未來(lái)的網(wǎng)絡(luò)安全行業(yè)發(fā)展目標(biāo)包括技術(shù)創(chuàng)新和企業(yè)發(fā)展，重點(diǎn)任務(wù)之一是加強(qiáng)共性基礎(chǔ)支撐，加快發(fā)展源代碼分析、組件成分分析等軟件供應(yīng)鏈安全工具，提升網(wǎng)絡(luò)安全產(chǎn)品安全開(kāi)發(fā)水平。

（三）中國(guó)信通院《金融行業(yè)開(kāi)源白皮書》

開(kāi)源軟件市場(chǎng)巨大，從基礎(chǔ)軟件到應(yīng)用軟件都充斥著大量的開(kāi)源軟件。受金融機(jī)構(gòu)轉(zhuǎn)型推動(dòng)和生態(tài)合作伙伴影響，為滿足金融用戶的實(shí)際需求，開(kāi)源技術(shù)已經(jīng)逐步成為金融機(jī)構(gòu)構(gòu)建信息系統(tǒng)的重要選擇。金融行業(yè)采用開(kāi)源技術(shù)已經(jīng)成為一種趨勢(shì)，開(kāi)源技術(shù)可以助力金融機(jī)構(gòu)提高科技實(shí)力、協(xié)助保障信息系統(tǒng)安全、進(jìn)一步推動(dòng)企業(yè)科技創(chuàng)新和業(yè)務(wù)創(chuàng)新。

（四）公安部網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0

等保2.0標(biāo)準(zhǔn)首次提出安全開(kāi)發(fā)流程的要求，應(yīng)在軟件開(kāi)發(fā)過(guò)程中對(duì)安全性進(jìn)行測(cè)試，在軟件安裝前對(duì)可能存在的惡意代碼進(jìn)行檢測(cè)，應(yīng)在軟件交付前檢測(cè)其中可能存在的惡意代碼，應(yīng)保證開(kāi)發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門和隱蔽信道。