RSAC2022 | 一文读懂“热度高涨”的软件供应链安全

发布时间 2022-06-22
编者按:软件供应链安全在当前供应链攻击、贸易战、国际最新局势等因素的影响下成为RSAC十大热门主题之一。在本文中,启明星辰集团通过结合本届RSAC在软件供应链安全主题提出的新思路与观点,以及自身在该领域所积累的丰富安全实践成果,为大家就当前供应链安全形势及未来发展趋势进行了详细分析,助力保障软件供应链安全产业稳定、健康发展。


看RSAC如何推动软件供应链安全发展


由于软件供应链的攻击范围广、方式隐蔽、危害大,给企业安全防护带来了极大的挑战,所以做好软件供应链安全的防护势在必行,以色列公司Cycode也凭借软件供应链安全的概念又一次入围沙盒创新十强。下面从RSAC历届DevSecOps解决方案厂商的思路来看软件供应链安全的技术发展趋势。


早在2017年,DevSecOps就被RSAC所引入,会上明确了DevSecOps实践的主体内容,并提出了左移安全前置的思想。


在2018年RSAC上更是通过“Golden Pipeline”的概念,强调在软件供应链安全上,自动化工具是必不可少的,其中CyberGRX作为第三方网络风险管理平台在大会上崭露头角,它从帮助企业理解和管理供应链威胁载体为出发点,通过对企业软件供应商进行全面调查,达成提早实现威胁探知的目的。


2019年RSAC中特设的子主题“DevOps Connect”,DevSecOps进入到全面爆发期,会议强调了DevSecOps落地实践过程中文化融合的意义,并期望通过CI/CD管道辅以有效度量机制来实现效率上的提升


DevSecOps在国内的发展情况


在DevSecOps兴起的浪潮下,越来越多企业将它应用到自身的开发安全架构当中,但在融入DevSecOps开发环境模型的过程中,如何解决企业自身供应链安全的问题也引发了大家的关注。


首先是文化融合。众所周知,人的本性是喜欢待在自身可掌控的舒适区。如今大部分企业转向DevSecOps的头号挑战,来自文化层面的抵触情绪。许多人认为安全保障会拖慢软件开发工作速度、甚至阻碍自身创新。


其次,DevSecOps强调开发人员与安全专家统一协作,二者共同建立起协作环境。但在两大团队间总是存在一定程度的摩擦,甚至认为对方总在跟自己作对。举个例子:例如软件外包公司的首要目标是满足客户的业务需求,开发人员希望不断提升代码的交付速度。但是在安全团队看来,他们的工作重点在于保障代码的安全,而这两个截然不同的目标导致团队之间难以彼此理解、协同工作。


再次,安全人员的不足也可能影响DevSecOps的建设。尽管很多企业在从事DevSecOps的落地工作,但人员能力水平参差不齐,知识储备低下的状况为企业造成了不小的麻烦。据《网络信息安全人才发展报告》指出,我国网络安全人才仍处于供不应求的状态。


最后,DevSecOps在实践过程中遇到的另一个挑战是自动化工具的不足。DevSecOps非常依赖自动化工具来完成版本管理、缺陷管理、代码构建、漏洞扫描等工作。尽管供应链安全领域一些开可以找到一些开源和商业工具,但在国产化的行业背景下,这些工具存在功落地的实际需求。


运用DevSecOps理念建设软件供应链安全体系


根据RSAC历年的DevSecOps理念,相关单位要做好软件供应链技术产品的安全开发往往需要从管理层面和技术层面出发,开展体系化的建设工作。


• 软件供应链安全管理方面


1、加强安全开发环境的可控性


在软件开发阶段需设置有安全可控的工作场所,并针对开发过程搭建专用的开发环境和测试环境,配备安全、可信、可靠的安全开发工具,设置按角色分配的合理权限,确保开发过程和测试过程可控,保障软件研发资产安全。


2、加强质量管理体系融合


根据软件供应链安全的开发生命周期建立合理的组织架构和管理架构来满足产品安全开发的实施和管理。


3、加强安全开发技术培训


给所有的研发人员培训DevSecOps方法流程,让每个研发人员实现互动关系,也让每个研发人员理解DevSecOps 的工作以及对整体产品安全主体的理解。开发人员了解线程模型和合规性检查,并了解如何衡量风险以及如何实施安全控制,从而确保组织中的所有人了解公司的安全状况,遵循相同的标准。


• 软件开发技术方面


1、构建详细的软件物料清单


软件供应链安全始于对关键环节的可见性,企业需要为每个应用程序持续构建详细的 SBOM(Software Bill of Material,软件物料清单)从而全面洞察每个应用软件的组件情况,为突发的漏洞提供应急的措施。


2、合理使用好安全开发工具


自动化工具的使用,可有效减少人工检测的时间消耗和成本投入,提高检测效率。软件安全开发领域常见的安全开发工具,使用的技术包括:SAST技术、DAST技术、IAST技术和FUZZ技术。因此,保障软件供应链安全,需在DevSecOps的不同阶段应用不同的自动化安全技术。


• 供应商管理方面


针对软件的提供商进行严格的审核,包括从财务实力、质量承诺、企业资质、技术储备等方面,通过考察软件供应商的综合实力,以选择最合适的合作伙伴,保障软件产品的安全性。


RSAC创新沙盒持续关注网络安全行业热点方向,引领技术创新,为软件供应链安全的技术实现提供了可行的解决方案。相信未来会有更多的软件供应链安全厂商入围创新沙盒,推动更多创新技术的发展。