如何軟件供應鏈安全風險進行治理？

下面將針對軟件供應鏈的各個階段，提供一套軟件 供應鏈安全風險管理的方法和指南，以幫助組織更好地應對軟件供應鏈的安全威脅。

1.軟件供應鏈風險治理體系建設

要進行有效的軟件供應鏈安全風險治理，首先需要構建一個風險治理體系，這個體系應當結合組織的特定 需求和行業的最佳實踐，包含以下核心元素： · 政策：明確組織對于軟件供應鏈安全的態度和要求，定義相關的政策和標準，并獲得高層的支持和承諾。 · 過程：設計和實施一套完整的軟件供應鏈安全風險管理過程，包括風險識別、評估、處理和監控等環節。每個 環節的主要工作如下：

風險識別：在此階段，組織需要收集和整理有關軟件供應鏈的信息，以便識別存在的風險。這可能包括識 別供應鏈中所有的組件和服務，了解它們的來源，評估它們的安全性，以及識別可能存在的威脅。 風險評估：在此階段，組織需要對已識別的風險進行深入評估，了解風險的嚴重程度和可能的影響。這可 能包括評估供應鏈中的組件和服務的安全性，以及評估如果發生安全事件，對組織可能產生的影響。 風險處理：在此階段，組織需要制定和實施應對策略，以減輕或消除風險。這可能包括改進開發流程，引 入安全工具和實踐，對供應商進行安全審計，或者更換不安全的組件和服務。 風險監控：在此階段，組織需要持續監控軟件供應鏈的安全狀態，以及實施的應對策略的效果。如果發現 新的風險或者已有的風險發生變化，需要回到風險識別階段，重新進行識別、評估和處理。

人員：建立專門的軟件供應鏈安全團隊，負責軟件供應鏈安全風險的管理和控制。提高全員的安全意識，確保 所有涉及軟件供應鏈管理的員工都對策略、程序和工具有充分的理解，能夠有效地執行他們的職責。 · 技術：選擇并部署適合的技術和工具，以支持軟件供應鏈安全風險管理的實施。這包括用于代碼審查、漏洞掃 描、依賴項管理、構建自動化、持續集成 / 持續部署（CI/CD）等工具。

2.軟件供應商風險管理

軟件供應商風險管理是軟件供應鏈安全風險治理的關鍵組成部分，應該貫穿整個軟件供應鏈安全風險治理 過程，其主要目標是確保軟件供應商提供的軟件產品或服務不會對使用者的環境產生安全威脅。在實施軟件供 應商風險管理時，主要包括以下步驟和階段，每個步驟中也需要采取相應的措施和手段。

軟件供應商選擇階段：在軟件供應商選擇階段，首先需要對潛在的軟件供應商進行評估，以確定他們的安全 能力，這一步驟的措施和手段包括：

供應商信息收集：首先需要對軟件供應商的安全態勢有全面的了解，主要包括收集軟件供應商的信息， 例如軟件供應商的安全政策、開發和維護流程、歷史安全事件記錄等。通過這些信息，可以初步識別與軟 件供應鏈相關的安全風險。制定評估標準：評估標準應包含軟件供應商必須滿足的安全標準，例如，供應商是否擁有適當的安全認 證，他們的產品是否已經通過了安全測試等。進行供應商評估：評估軟件供應商的安全能力和性能，例如，軟件供應商是否有能力發現和修復安全漏 洞，軟件供應商的安全響應能力如何等。此外，評估軟件供應商的安全態勢可能對組織的影響，例如如果 軟件供應商出現安全問題，會對組織的業務連續性、數據安全等方面產生何種影響。

合同談判：在合同談判階段，需要確保合同中包含足夠的條款來保護使用者的安全權益，這一步驟的措施和 手段包括：

制定安全條款：在合同中加入必要的安全條款，例如，供應商必須遵守的安全標準，如何處理安全事件， 以及如何賠償由于安全問題導致的損失等。 審查合同：由法律和安全專家對合同進行審查，以確保合同中的安全條款足夠嚴格。

供應商管理：在供應商管理階段，需要定期對供應商進行監控和審計，以確保他們持續滿足安全要求。這一步 驟的措施和手段包括：

建立監控機制：這可以通過定期收集和分析供應商的安全數據，例如，安全事件報告，補丁和更新的發布 情況等來實現。 供應商安全審計：定期對供應商進行安全審計，審計的內容包括供應商的安全政策和程序，安全技術的 使用情況，以及安全事件的處理情況等。

供應商風險處理：當發現供應商存在安全風險時，需要及時進行風險處理，這一步驟的措施和手段包括。

制定風險處理策略：制定和實施針對軟件供應商的風險處理策略，這可能包括與軟件供應商協商改進其 安全能力、要求供應商定期進行安全審計、修改合同條款以及減少安全風險等。同時，也需要準備應對軟 件供應商出現安全問題的應急計劃。 執行風險處理：執行制定的風險處理策略，同時監控處理結果，以確保風險得到有效的控制。

軟件供應商風險管理是一個持續的過程，需要在軟件供應商選擇、管理和風險處理等階段采取相應的措施 和手段。通過有效的軟件供應商風險管理，可以顯著降低軟件供應鏈的安全風險，保護使用者的利益。如果軟件 供應商無法滿足組織的安全需求，也可能需要考慮更換新的軟件供應商。

3.軟件開發生命周期（SDLC）風險治理指南

軟件供應鏈安全風險治理是一項至關重要的任務，它涉及對軟件開發生命周期中所有階段的安全風險進行 管理。從 SDLC 的角度進行軟件供應鏈安全風險治理，可以實現全面、早期、持續的安全風險管理，有利于提高軟 件的安全性，降低安全風險，保護企業的利益。這不僅需要構建一個完整的治理體系，還需要在軟件開發生命周 期的各個階段引入關鍵技術。下面，將從 SDLC 的各個階段介紹如何做安全風險治理。

3.1 需求分析階段

從 SDLC 的需求分析階段開始就對軟件供應鏈安全風險進行治理，可以更早地識別和解決潛在的安全問 題，從而降低風險，減少后期的修復成本。以下將詳細介紹在需求分析階段如何進行軟件供應鏈安全風險治理。 · 定義安全需求： 首先，需要明確安全需求。安全需求是系統應該滿足的關于保護信息和系統的需求，包括保密性、完整性、可 用性、可追溯性、可審計性等。在需求分析階段，需要與相關的利益相關者進行深入的溝通，以了解他們對系統安 全的期望，明確安全需求。 · 定義安全設計指南： 定義安全設計指南是指指導系統設計的一組規則，它們描述了如何在設計中實現安全需求。安全設計指南 應該涵蓋各種可能的安全問題，如數據泄露、訪問控制、身份驗證和授權、密碼管理、安全會話管理、輸入驗證、錯 誤處理和日志記錄等。

實施安全風險分析： 安全風險分析包括對可能影響系統安全的各種風險進行識別、分析和評估。可以使用像是威脅建模（Threat Modeling）這樣的技術來進行風險分析。比如，使用 STRIDE 模型來識別和分類威脅。威脅建模可以幫助我們識 別可能的威脅，評估威脅的嚴重性，以及確定應該采取的措施來緩解這些威脅。 · 開展安全審查： 安全審查是一種檢查技術，用于檢查需求、設計和代碼是否符合安全需求和指南。在需求分析階段，安全審 查主要針對安全需求、風險分析結果和安全設計指南進行。可以使用像是安全需求審查清單這樣的工具來進行 安全審查。 · 行安全培訓和教育： 為了確保軟件供應鏈的安全，開發團隊需要對安全問題有深入的理解。因此，需要在需求分析階段就開始進行安全培訓和教育。這包括安全基礎知識的培訓，如安全原則、常見的攻擊手法、安全編程技巧等；也包括針對 特定的安全需求和風險的培訓，如如何防止 SQL 注入攻擊，如何處理敏感信息等。

3.2 設計分析階段

軟件供應鏈安全風險治理在軟件開發生命周期的設計階段是非常關鍵的，設計階段主要是在需求分析的基 礎上，設計出能滿足需求的系統架構和模塊。如果在這個階段就考慮到安全性，就能避免很多后續可能出現的安 全問題。以下是在設計階段如何進行軟件供應鏈安全風險治理的一些關鍵步驟。 · 定義安全設計規則： 設計階段的軟件供應鏈安全風險治理首先要有一套設計規則，這套規則包括所有模塊的安全設計原則、安 全設計模式，以及每個設計模式對應的安全要求。例如，設計規則可能包括所有處理敏感數據的模塊都必須實現 強身份驗證和訪問控制、所有網絡通信都必須加密、所有密碼必須通過安全的方式存儲等。這些規則為設計者提 供了一個安全設計的框架，避免他們在設計時因忽略安全性而產生風險。

進行安全設計評審： 設計完成后，需要進行安全設計評審。安全設計評審是一種專門針對設計的安全性進行的審查活動。在這個 過程中，安全專家會檢查設計是否符合安全設計規則，是否存在可能的安全漏洞，是否已經考慮了所有可能的攻 擊方式等。安全設計評審可以早期發現設計中的安全問題，避免這些問題在開發和部署階段產生嚴重的影響。 · 實施威脅建模： 威脅建模是一種重要的風險管理方法。在設計階段，可以通過威脅建模識別設計中可能存在的威脅。例如， 可 以 使 用 STRIDE（Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, and Elevation of privilege）模型，這是微軟提出的一種威脅建模方法，用于識別和分類系統中可能面臨的各種威 脅。通過威脅建模，可以更全面地理解和管理設計中的安全風險。 · 進行安全原型驗證 在設計階段，還可以通過建立安全原型來驗證設計的安全性。安全原型是對設計中關鍵安全功能的初步實 現。通過安全原型，可以實際測試設計中的安全機制是否能有效防止威脅，安全性能是否滿足需求。例如，可以建 立一個原型來測試設計的身份驗證機制是否能防止身份偽裝攻擊，或者測試加密算法是否足夠強大等。

3.3 研發測試階段

在軟件開發生命周期中，研發測試階段是對軟件產品的功能和安全性進行深度驗證的關鍵時期。該階段的 目標是找出并解決所有的質量和安全問題，以保證軟件產品在部署時能夠穩定、安全地運行。為此，我們需要采用一系列的方法和工具來進行軟件供應鏈安全風險的治理。 · 實施安全開發實踐： 首先，必須在研發階段實施安全開發實踐。這包括使用安全的編程技術，避免已知的不安全編程習慣，以及 在編程中使用安全庫和組件。例如，避免在代碼中硬編碼敏感信息，避免使用具有安全隱患的函數，正確處理用 戶輸入以防止注入攻擊等。 · 實施有效的安全測試： 安全測試是在研發測試階段必不可少的一步，我們需要對軟件產品進行全面的安全測試，以驗證所有的安 全控制措施是否有效。安全測試可以采用靜態應用程序安全測試（SAST），動態應用程序安全測試（DAST），交互 式應用程序安全測試（IAST），以及模糊測試（Fuzzing）等方式。