<pre id="9b1bx"><pre id="9b1bx"></pre></pre>

      <track id="9b1bx"><strike id="9b1bx"><strike id="9b1bx"></strike></strike></track>
        <track id="9b1bx"></track><track id="9b1bx"><ruby id="9b1bx"><ol id="9b1bx"></ol></ruby></track><pre id="9b1bx"><ruby id="9b1bx"><ruby id="9b1bx"></ruby></ruby></pre>
        <pre id="9b1bx"><strike id="9b1bx"></strike></pre>

        <address id="9b1bx"></address>

        <noframes id="9b1bx"><pre id="9b1bx"></pre>

        首頁 > 安全 > 正文

        軟件供應鏈安全,必須從“源”頭抓起

        2022-12-30 14:24:35   來源:IT運維網-郭濤>

        2020年底,黑客利用SolarWinds的網管軟件漏洞,攻陷了多家美國聯邦機構及財富500強企業的網絡。這場“太陽風暴”讓人始料未及。時隔一年,2021年底爆發的Log4j漏洞,更被稱為互聯網歷史上破壞力最驚人的漏洞之一。有報告顯示,軟件供應鏈的攻擊在過去三年內增加了742%。人們不禁感嘆:軟件供應鏈安全問題猛如虎!
         
        騰訊開發安全高級產品經理劉天勇一針見血地指出,軟件供應鏈安全這個問題其實折射出了開源組件的安全問題。經過幾十年的日積月累,軟件開源化不僅成了一種業界趨勢,更成為一種文化,甚至改變了整個軟件業的面貌。有統計顯示,當前全球90%以上的企業正在直接或者間接,甚至是在無意識中使用著開源技術、開源軟件。保障開源軟件的安全已經成了當務之急。
         
        在云計算代,云原生要求軟件的研發再提速,同時容器、微服務、DevOps等新的理念、技術又不斷加入,使得軟件供應鏈變得越來越復雜,安全問題的滋生在所難免。
         
        解決軟件供應鏈安全問題之道,還是要從“源”頭抓起:一方面,既然今天黑客更愿意選擇從軟件供應鏈安全的缺口,也就是從軟件開發階段就開始滲透、攻擊,那么我們就要在軟件開發的源頭做好防守;另一方面,針對存在的開源軟件漏洞或組件不可控等問題,我們更要查遺補缺,嚴防死守,不能有一絲懈怠。
         
        控制好代碼來源
         
        毋庸置疑,云原生是一種更先進的開發和應用模式,其先進性的一個重要體現就是降低了開發的門檻。比如,以前作為一個程序員,必須具有非常全面的能力,既要了解業務需求,又要會寫代碼。而現在,有了容器化、微服務、DevOps等,可能程序員本身就不用再掌握那么多的底層技術、開發技巧,很多時候通過直接調用第三方現成的一些模塊,或公開的開發組件,就能完成特定程序的開發,效率大大提升。不過也正因為如此,程序員不可控的東西增加了,導致危險的來源也同步增加了。
         
        站在一家研發企業的角度,解決軟件供應鏈安全問題的關鍵就是控制好代碼來源。尤其是程序員如果在開發過程中直接使用了第三方的開源組件,就要特別小心。因為現在很多開發的過程中都是直接使用標準化、模塊化的工具進行堆疊,所以要對這些開發組件進行必要的安全檢測。
         
        而對于一般的用戶來說,則要守好兩條“管道”:一是自己開發的軟件,要做好全流程的安全管控和檢查;二是直接購買的商用軟件或開源軟件,在產品上線前,除了要做好組件的檢測和代碼檢測之外,還要在軟件供應商的資格準入問題上嚴格要求,一絲不茍。
         
        劉天勇指出,在國內,不同的行業對于軟件供應鏈安全這個問題的重視、認知程度也不盡相同。以互聯網、金融等為代表的、軟件研發占據相當比重的行業用戶,最近兩三年受到國內外頻發的安全事件的啟示,加快了軟件供應鏈安全建設。
         
        其實與商品的供應鏈相比,軟件供應鏈并不是很長,其安全癥結集中而突出,就是能不能完全掌控軟件的所有開發組件。近些年,隨著使用開源組件的范圍越來越廣,頻率越來越高,開源組件的安全問題正源源不斷浮出水面。舉例來說,如果開發一個APP總計有100萬行代碼,其中70%是調用現成的開源組件,那么就意味著這70萬行代碼必須“可信”,否則就可能存在安全隱患。如何能夠有效地監控到這70萬行代碼的安全,對很多普通用戶來說可能是一個棘手的問題。
         
        還有一種可能讓用戶更擔心的情況,就是像0day漏洞。安全人員可能發現了某個組件是有安全漏洞的,但留給企業來修補的時間只有一天甚至幾個小時,過了這個窗口期,黑客也許就會大規模地攻入。因此,防御未知漏洞還是一項十分嚴峻的挑戰。
         
        安全防線前移
         
        以前一提到安全,人們最先想到的就是殺毒軟件、防火墻等。但這些都是在應用部署之后的運行階段所做的防御措施。解決軟件供應鏈安全問題,安全防線還要再前移。這也是業界提出“安全左移”“開發安全”以及DevSecOps等概念的初衷,其本質都是希望在應用上線前就最大程度地消除安全隱患。
         
        劉天勇解釋說,安全左移代表的一種技術理念,是將安全的檢測和防御從應用上線之后向左移動。如果將一個軟件的生命周期由左至右來排列,那么最開始是軟件的需求設計,然后是程序員的編碼、測試、發布上線,最后是運營。以前的安全防御集中在運營階段去做,就像是看病,要得了病以后再去醫院治療。而安全左移意味著,要提前做好預防工作,特別是在引入了第三方開發組件的情況下,“安全左移”就更具必要性。
         
        而DevSecOps代表著一種研發模式,更多地強調,在這種新的研發模式之下,安全防御手段也要與時俱進做出調整,不管是在開發還是在測試階段,或其他階段,所有人都要為整個應用的安全負責。因為現在應用的研發迭代非???,不可能再像以前那樣一道工序接著一道工序按部就班。只有將安全體系的建設放到應用上線之前,才能事半功倍。
         
        很多時候,我們在談到開源軟件時,關注的都是對研發效率的提升或其他優勢,比如站在巨人的肩膀上研發,可以省掉大量重復勞動,能夠把更多精力和時間放到攻克技術難關上,更好地實現共享等。但我們容易忽視的是,開源在某種意義上意味著責任不清晰。比如,你在使用開源軟件時,可能免費地拿來就用,一旦其中隱藏著安全隱患,這個責任又該誰來承擔呢?這就涉及到一個嚴肅的話題,即開源組件的權限權益、責任邊界以及如何合理地進行使用。這不是一個單純的技術問題,應該上升到整個公司的研發標準、策略和規范層面,再往上可能會涉及到國家安全。所以,對于開源組件的安全使用一定要有明確的規范和準則。
         
        二進制SCA另辟蹊徑
         
        既是軟件開發者,同時又是安全解決方案提供商,騰訊的“雙重身份”讓它在軟件供應鏈安全這個問題上看得更加通透,解決起來也更加得心應手。“騰訊在軟件供應鏈安全上有自己獨特的技術思路。”劉天勇如是說。
         
        在軟件上線之前,要檢測清楚到底使用了哪些第三方的開源組件,是否存在安全隱患。針對這個問題,業界目前有兩大技術流派。一派是檢測源代碼,即源代碼SCA(Source Code Analyzer,源代碼分析)。大多數主流安全廠商都采用這一思路。
         
        騰訊則另辟蹊徑,是從源代碼編譯構建的產物,也就是制品或者說二進制構建產物切入的,是在代碼編譯之后,檢測其編譯后的產物,以得到軟件供應鏈的組成成分。
         
        兩者的區別在于,源代碼側技術難度相對較低,但弊端在于,它可能會忽略編譯過程中引入的新問題, 難以解決一些間接依賴問題;而二進制分析技術是編譯之后再去檢測,無需源代碼,使用起來也更簡單,而且可以把在編譯過程中引入的其他問題,如和編譯器相關的軟件供應鏈風險掃描得更全。這也是騰訊選擇走二進制SCA技術路線的原因。
         
        “我們之所以選擇二進制SCA這條路線,主要因為騰訊在此領域有比較深厚的技術積累。”劉天勇介紹說,“騰訊安全科恩實驗室積極布局物聯網、車聯網安全,其技術實力和研究成果達到國際領先水平。自2016年以來,實驗室連續5年發布多個知名品牌網聯汽車安全研究成果,助力廠商修復安全問題,并構建全面的安全體系?,F在,將這些技術應用于軟件開發,其本質是一樣的。因此,騰訊安全在二進制SCA方面筑起了高技術壁壘。”
         
        目前在國內安全廠商中,騰訊是唯一一家在軟件供應鏈安全實踐中,從制品角度去檢測整個第三方開源組件的廠商。在國外,采用與騰訊相同技術路線的廠商屈指可數,它們有的是從源代碼掃描領域拓展而來,有的本身并不是安全廠商,而是做制品庫管理的。但是異曲同工,二進制SCA是確保軟件供應鏈安全的一條捷徑。
         
        保障軟件供應鏈安全,騰訊安全能夠提供包括SCA、SAST等工具在內的一系列檢測產品,同時還可以提供專家咨詢服務,協助客戶落地相關體系。
         
        “在DevSecOps的概念之下,騰訊針對廣義的軟件供應鏈安全還能提供更多的創新技術和產品。”劉天勇舉例說,“最近,騰訊安全科恩實驗室就推出了一個模糊測試的解決方案T-fuzz。這樣一來,騰訊在源代碼掃描、開源組件的成分分析測試、模糊測試等幾個維度都有了相應的工具。這些工具再加上專業的咨詢服務,就構成了騰訊軟件供應鏈安全的完整體系。”
         
        騰訊自己就是二進制SCA最早的使用者和試驗田。騰訊在其整個DevOps流水線中集成了二進制SCA掃描產品后,在應用上線之前就完成了整個開源組件的檢測。騰訊內部有一個專家團隊,負責實時維護開源組件知識庫,能夠第一時間發現漏洞,并及時通知相關的業務團隊,快速完成應急響應處理。
         
        作國中國信息通信研究院軟件供應鏈安全實驗室(3S-Lab)首批成員單位,騰訊安全的二進制SCA產品應用實踐入選了2022中國信通院守衛者計劃——“軟件供應鏈安全”優秀應用案例,這是騰訊安全與上汽集團子公司零束科技開展“產研結合”的重要成果之一。該產品基于先進的二進制軟件成分分析能力,在供應鏈安全管理、軟件生命周期(SDLC)管理、關鍵基礎設施安全、發布合規檢查等各類場景中,實現了已知漏洞掃描、開源軟件審計和敏感信息檢測。同時,騰訊安全的代碼安全檢查工具Xcheck通過了《靜態應用程序安全測試工具能力要求》評估。Xcheck采用創新的技術路線,摒棄了傳統SAST工具主要依賴規則匹配的技術原理,基于成熟的污點分析技術與對抽象語法樹的精準剖解,實現了快速精準的識別代碼風險。
         
        新賽道 新標準
         
        當前,關于軟件供應鏈安全整個業界還沒有一個統一的標準。2022年上半年成立的“軟件供應鏈安全實驗室(3S-Lab)”,旨在聯合政產學研用多方力量,進行軟件供應鏈安全關鍵技術的研究,同時完善標準體系建設,開展測試評估。包括騰訊在內的很多安全廠商都加入了這一實驗室,致力于聯合推動軟件供應鏈安全產業的發展與創新。據了解,實驗室在成立后,已經發布了一個SBOM軟件物料清單的管理標準,為下一步工作的開展開了一個好頭。
         
        “從當前的市場需求和應用場景來看,軟件供應鏈安全還處于早期市場教育階段。對安全比較重視的公司已經在著手填補此領域的空白。而大多數公司還沒有開始行動。”劉天勇表示,在對開源組件進行檢測的過程中,有兩個細節需要特別注意。第一,在發現開源組件存在安全隱患后,應該如何進行修復?因為開源代碼通常不屬于開發者,在發現問題后,只能寄希望于開源組件的擁有者,能夠及時發布更新的版本,然后開發者再進行替換。第二,開源組件如果有未知漏洞,該怎么辦?隨著開源軟件的名氣越大,使用的人越多,如果開源組件有未知漏洞,那么可能造成的危害就越大。“0day漏洞,再加上軟件供應鏈安全這個‘放大器’,危害結果很可能是1+1>2。Log4j之所以震驚世界,也是與此相關。”劉天勇解釋說。
         
        騰訊安全非??春密浖湴踩@條新賽道,這將是一個巨大的增量市場,也能夠充分體現騰訊安全的核心競爭力。騰訊安全已經在該領域處于領先地位,其產品的可行性、可靠性也得到了市場的全面驗證。下一步,就是要開展大規模的商業應用。
         
        “從公司內部自研自用的產品,到全面走向市場的適用于各行各業的標準化產品,我們在軟件供應鏈安全產品層面,還有很多標準化的工作要持續做下去。產品完善的過程需要循序漸進,不可能一蹴而就。”劉天勇表示,“未來,我們會不斷加強軟件供應鏈安全方面的防御對策和手段,并在行業標準的制定上貢獻自己的力量。”

        (本文不涉密)




        免責聲明:本網站(www.la-desserte.com)內容主要來自原創、合作媒體供稿和第三方投稿,凡在本網站出現的信息,均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
        本網站刊載的所有內容(包括但不僅限文字、圖片、LOGO、音頻、視頻、軟件、程序等)版權歸原作者所有。任何單位或個人認為本網站中的內容可能涉嫌侵犯其知識產權或存在不實內容時,請及時通知本站,予以刪除。電話:010-88558043)

        相關熱詞搜索:供應鏈安全

        上一篇:首批可信計算產品聯合認證檢測工作順利通過專家評審
        下一篇:Check Point: ChatGPT 可生成惡意電子郵件和代碼

        掃碼關注公眾號

        掃碼訂閱雜志

        掃碼下載2020年《混合多云行業應用調查報告》

        掃碼參與有獎調查

        男女边吃奶边摸边做边爱

          <pre id="9b1bx"><pre id="9b1bx"></pre></pre>

            <track id="9b1bx"><strike id="9b1bx"><strike id="9b1bx"></strike></strike></track>
              <track id="9b1bx"></track><track id="9b1bx"><ruby id="9b1bx"><ol id="9b1bx"></ol></ruby></track><pre id="9b1bx"><ruby id="9b1bx"><ruby id="9b1bx"></ruby></ruby></pre>
              <pre id="9b1bx"><strike id="9b1bx"></strike></pre>

              <address id="9b1bx"></address>

              <noframes id="9b1bx"><pre id="9b1bx"></pre>