2022软件供应链安全治理与运营白皮书(3).docxVIP

又悬備间争中耻信I今宼尻 hHinnon \^Z V china telecom I 1 软件供应链安全 治理与运营白皮书 （2022） 法律声明 此报告为悬镜安全、ISC与中国电信研究院联合制作，报告中的文字、图片、表格等版权均为悬镜安全、ISC 与中国电信研究院共同所有。任何组织、个人未经悬镜安全、ISC与中国电信研究院授权，不得转载、更改或 者以任何方式传送、复印、派发该报告内容，违者将依法追究法律责任。转载或引用本报告内容，不得进行如 下活动： 不得擅自同意他人转载、引用本报告内容。 不得引用本报告进行商业活动或商业炒作。 本报告中的信息及观点仅供参考，悬镜安全、ISC与中国电信研究院对本报告拥有最终解释权。 UT UT 关于悬镜安全 悬镜安全，DevSecOps敏捷安全领导者。起源于北京大学网络安全技术研究团队“XMIRROR”， 创始人子芽。专注于以代码疫苗技术为内核，通过原创专利级全流程软件供应链安全赋能平 台+敏捷安全工具链”的第三代DevSecOps智适应威胁管理体系，持续帮助金融、车联网、 泛互联网、能源等行业用户构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构 演进的内生积极防御体系。 悬镜安全官网：/ 关于ISC ISC是亚太地区乃至当今世界规格高、辐射广、影响力深远的全球性安全峰会。自2013年举办 首届以来，九年间已围绕网络空间治理、数据安全、威胁情报等前沿领域安全问题，举办超20 场国际峰会，设立超300场分论坛，输出超2000个行业前沿议题。吸引来自中国、美国、俄罗斯、 以色列、德国等全球30多个国家的2000余位政要、行业领袖、网络安全专家深度参与，共话 全球网络安全生态。已经成为专业性、权威性、全球性的中国网络安全产业名片。 ISC 官网:/ 关于中国电信研究院 中国电信研究院是中国电信集团公司为适应集团发展和需要而组建的重要科研机构，伴随着通 信技术的发展已传承六十余载，一直秉承着中国电信企业发展引擎、技术灯塔、决策智库的定位, 承担通信行业创新产品的研发与落地、前瞻技术与应用的研究与攻关、企业运营中业务与技术 方向的决策支撑、安全领域全链条的研发与推广的使命，研发创新涵盖5G、云计算、人工智能、 大数据、物联网、安全等多个领域。 参编机构 悬镜安全、ISC、中国电信研究院 导语 INTRODUCTION 数字化时代，软件定义万物，已逐渐成为支撑社会正常运转的最基本元素之一。随着软件开发 过程中开源应用的使用越来越多,开源应用事实上逐渐成为了软件开发的核心基础设施，混源软件 开发也已成为现代应用主要软件开发交付方式,开源应用的安全问题也已被上升到基础设施安全和 国家安全的高度来对待。 软件供应链开源化,导致影响软件全供应链的各个环节都不可避免受到开源应用的影响。尤其 是开源应用的安全性问题，将直接影响采用开源应用的相应软件供应链的安全。除了开源应用开发 者因疏忽导致的开源应用安全缺陷，还可能存在具有非法目的开发者故意预留的开源应用安全缺陷, 甚至还有恶意攻击者伪造的含有隐藏性恶意功能的异常行为代码被故意上传到上游开源代码托管平 台，实施定向软件供应链攻击。上述开源应用中存在的众多安全问题，导致软件供应链的安全隐患 大大增加,安全形式更加严峻。 而现代软件应用的供应链非常复杂,软件供应链安全管理是一个系统工程,亟需从国家、行业、 机构、企业各个层面建立软件供应链安全风险的发现能力、分析能力、处置能力、防护能力,整体 提升软件供应链安全管理的水平。为此，需要开展全方位的软件供应链安全检测防御方法和技术研 究。第一，开展软件成分动态分析及开源应用缺陷智能检测技术研究，突破高效高准确性的开源应 用安全缺陷动态检测技术的瓶颈，解决基于全代码遍历和代码片段级克隆技术比对的应用安全检测 难题,进一步实现对全球开源应用的全面安全检测,从源头堵住软件供应链安全隐患的源头。第二, 建立全球开源应用的传播态势感知和预警机制，攻克软件供应链中软件来源多态追踪技术，实现对 供应链各环节中软件来源的溯源机制。通过软件来源多态追踪技术监控开源应用的使用传播和分布 部署态势,全面把握有缺陷的开源应用传播和使用渠道，实现对全球开源应用及其安全缺陷的预测 预警。第三，建立国家级/行业级软件供应链安全监测与管控平台，具备系统化、规模化的软件源 代码缺陷和异常行为代码分析、软件漏洞分析、开源软件成分及风险分析等关键能力，为关键基础 设施、重要信息系统用户提供日常的自查服务，及时发现和处置软件供应链安全风险。第四，严格 管控软件供应链上游,尤其重点管控开源应用的使用,积极推动代码疫苗、SCA、区块链和SB0M等 新技术和标准在软件供应链安全领域的推广和应用,从根本上提供软件供应链安全的可靠保障。 随着AI和自动化恶意攻