軟件供應鏈安全定義、特征及發展歷程回顧

在當今的數字化時代，軟件已經成為我們生活和工作中不可或缺的一部分，任何一個領域都和軟件的存在 緊密相關。

軟件供應鏈是指從軟件的開發、制作、分發到最終維護和使用的全過程，它涉 及多個環節，包括但不限于源代碼管理、第三方庫依賴、開發工具、集成和部署工具、分發平臺等。軟件供應鏈的 出現，其實是軟件生產和開發過程分工協作、專業化發展的體現。它不僅可以提高軟件的生產效率，還可以讓各 個參與方更專注于自己擅長的環節，從而提高軟件的質量。然而，這種分工協作的模式，也給軟件供應鏈的安全 帶來了新的挑戰。 隨著軟件的復雜性和規模的不斷增加，軟件供應鏈的安全難度也在增加。一方面，軟件供應鏈是攻擊者尋找 弱點和挖掘漏洞的重要領域，其中的每一個環節都可能成為攻擊者的目標，攻擊者只需要在軟件供應鏈中找到 一個薄弱環節，就可以發起攻擊，從而影響整個軟件供應鏈的安全性。另一方面，隨著開源軟件和第三方服務的 普及，軟件供應鏈變得更加復雜，安全管理的難度也大大增加。

同時，由于軟件供應鏈涉及多個參與方，每個參與方可能對安全有不同的理解和實踐，這使得整個軟件供應 鏈的安全管理變得更加復雜且難以把控。不僅如此，軟件供應鏈的安全性直接關系到用戶的利益和組織的聲譽。 換句話說，軟件供應鏈是大多數組織的命脈，如果軟件供應鏈中的任何一個環節出現安全問題，都可能會導致用 戶的個人信息泄露，甚至引發大規模的社會影響，對企業的聲譽造成重大損害。因此，保障軟件供應鏈的安全性 至關重要，“軟件供應鏈安全”這一概念也應運而生。 軟件供應鏈安全是指在整個軟件供應鏈中保護軟件和軟件基礎設施免受惡意攻擊者的侵害，這包括對軟件 供應鏈中的所有環節進行安全控制和管理，例如防止惡意軟件的注入、未經授權的訪問或修改、組織員工的惡意 行為等。其主要組成部分包括軟件供應鏈風險管理、第三方供應商的安全評估、安全開發、自動化安全測試、源代 碼和組件安全管理等。基于此，軟件供應鏈安全應該包含以下五項關鍵特征：

安全性：安全性是軟件供應鏈安全最基礎也是最關鍵的特征，這主要涉及到軟件供應鏈的各個環節中， 如何防止惡意代碼的注入，保護軟件不被篡改，防止未經授權的訪問等。實現這一點，需要采用各種安全 技術，比如安全開發、加密、身份驗證、訪問控制等，也需要有完備的安全策略和管理機制。 完整性：完整性是指在整個軟件供應鏈過程中，軟件的內容、結構和功能都沒有被篡改、破壞或丟失， 始終保持原始的完整狀態。這不僅需要在軟件傳輸和存儲過程中保證數據的完整性，也需要在軟件修 改和更新過程中，確保每一個版本都有完整的記錄，并且在發布和使用過程中，軟件的功能和性能也不 會因為各種原因被削弱或破壞。

可追溯性：可追溯性是指在整個軟件供應鏈過程中，所有的操作、事件和結果都有明確、完整的記錄，可 以清楚地追溯到發生時間、發生地點、操作人員、操作方法以及產生結果等詳細信息。這對于發現問題、分 析問題、解決問題以及避免問題再次發生都有很大的幫助。 透明性：透明性是指軟件供應鏈中所有的操作和過程都是開放的，包括軟件的開發、測試、分發、使用 等環節。透明性可以幫助檢測和防止不良行為，增加信任以及提供有價值的信息來改進軟件供應鏈的 管理和操作，實現透明性需要有一個開放的信息共享機制，以及一個公正的爭議解決機制。

持續性：持續性是指軟件供應鏈的安全管理是一個持續不斷的過程，而不是一次性的工作。隨著技術 的發展和威脅的變化，組織需要不斷地對新的威脅和風險進行持續的評估和應對，這可能涉及到持續 的風險評估、持續的安全監控、持續的安全技術更新、持續的員工培訓、持續的學習和改進等機制和措 施，以適應快速發展和變化的技術和環境。

軟件供應鏈安全的發展歷程和演變過程是非常復雜和多元化的，它的發展歷程與信息技術的進步和互聯網 的全球化緊密相連，具體可以大致分為以下四個階段：早期的計算機軟件時代、網絡時代、全球化和開源軟件時 代以及云計算和 DevOps 時代。這些階段并非是明確劃分的，而是重疊和并行的，每一個階段都對軟件供應鏈 安全有著深遠的影響。

早期的計算機軟件時代（大約 1980s）： 在這個階段，大多數軟件通常都是由單個開發者或者小團隊創建的，在這個階段，軟件供應鏈主要涉及到軟 件的設計、開發、測試和分發。盡管早期的軟件供應鏈面臨的安全問題相對較少，但 1982 年的 "Elk Cloner" 事 件是這一階段的重要里程碑，標志著病毒和惡意軟件開始入侵軟件供應鏈，"Elk Cloner" 是最早的一種計算機 病毒，它通過感染 Apple II 計算機的軟盤傳播。

 網絡時代（1990s 到 2000s）： 互聯網的普及使得軟件可以通過在線下載的方式進行分發，軟件的更新和補丁也能迅速推送給用戶。在這 個階段，軟件供應鏈開始涵蓋更多的環節，包括持續的更新和維護。安全問題開始變得更加復雜，惡意軟件和病毒開始通過網絡傳播，同時網絡攻擊也開始出現。 1999 年的 "Love Letter" 病毒是一種通過電子郵件附件傳播的病毒，全球范圍內導致了數十億美元的損 失，揭示了網絡時代軟件供應鏈安全的脆弱性。

全球化和開源軟件時代（2000 年代后期至今）： 隨著開源軟件的興起和全球化的推進，軟件供應鏈變得更加復雜和分散。這個階段，代碼可能來自全球各地 的開發者，而軟件的編譯、測試和分發也可能在不同的地點進行。在這個階段，軟件供應鏈安全問題變得更加復 雜，一方面，開源軟件的共享特性使得軟件供應鏈中的每個環節都可能成為攻擊目標；另一方面，全球化的開發 和分發模式使得軟件供應鏈中的任何一個環節出現問題，都可能會影響到整個鏈條。 2014 年的“心臟出血”漏洞是一個里程碑式的事件，這是一個存在于廣泛使用的開源加密庫 OpenSSL 中的 嚴重安全漏洞，由于 OpenSSL 在全球范圍內廣泛使用，該漏洞影響了大量的網站和應用。在這個階段，我們也 開始看到有關軟件供應鏈安全的標準開始被提出和制定，例如，軟件供應鏈安全的開放標準 SWID 標簽 （Software Identification Tags）在 2011 年由國際標準化組織（ISO）正式發布。

云計算和 DevOps 時代（2010 年代至今）： 隨著云計算和 DevOps 的興起，軟件供應鏈開始進入自動化和持續集成 / 持續部署（CI/CD）的階段。在這 個階段，軟件的開發、測試和部署都能實現自動化，使得軟件的更新速度大大加快。然而，這也給軟件供應鏈安全 帶來了新的挑戰。由于軟件的更新速度快，一旦軟件供應鏈中的某個環節被攻擊，惡意代碼可能迅速傳播到整個 系統。 2018 的 "Event-Stream" 事件就是一個例子，"Event-Stream" 是一個廣泛使用的 Node.js 庫，因為維護 者將其轉交給了一個未知的第三方，該第三方在庫中植入了惡意代碼，導致了軟件供應鏈安全問題。 總的來說，軟件供應鏈安全的發展歷程是一個從未意識到問題，到開始關注問題，再到制定相應對策和標準 的過程。在這個過程中，不斷有新的技術和策略被引入，以應對持續變化的安全威脅。