軟件供應鏈安全面臨哪些挑戰(zhàn)？

隨著數(shù)字化進程的推進，開源共享和業(yè)務上云成為主流，軟件所面臨的安全風險和挑戰(zhàn)相比以往更加嚴峻。

1.開源代碼風險不斷增加

開源代碼已經(jīng)成為現(xiàn)代軟件開發(fā)的基本原料，開源代碼的使用大大提高了開發(fā)人員軟件開發(fā)的效率，使得敏捷開發(fā)、快速交付成為可能，但是由于開發(fā)人員直接使用開源代碼，對開其安全性并不了解，使得開源代碼的風險嚴重威脅著整體軟件系統(tǒng)的安全。如今，開源代碼被投毒的事件越來越多，開源代碼的風險已經(jīng)成為了軟件所面臨的主要風險之一。

伴隨著開源代碼使用率的暴增，開源代碼的風險也大幅度增加，據(jù) Synopsys 發(fā)布的《2023 年開源軟件安全與風險報告》顯示，今年分析的 1703 個代碼倉庫中，有 96%包含開源代碼，而84%的軟件代碼庫中至少存在 1 個已知的開源漏洞，這一數(shù)據(jù)較2022年上漲了 4%，其中不乏航空航天、大數(shù)據(jù)、IoT 等關鍵領域與技術信息敏感行業(yè)使用了存在漏洞風險的開源代碼。自2018 年以來，高風險漏洞在營銷科技領域至少增加了 42%，在零售和電子商務領域更是猛增 557%。

2.API 風險日益突出

隨著軟件應用系統(tǒng)逐漸由單一架構轉(zhuǎn)變?yōu)榈婉詈稀⒏邇?nèi)聚的服務網(wǎng)格架構，API 作為驅(qū)動開放共享的核心能力，已經(jīng)廣泛用于軟件應用系統(tǒng)之間的交互。數(shù)字化進程的不斷加快，也使得API 的數(shù)量高速增長，由于不安全的 API 會暴露應用程序邏輯或敏感數(shù)據(jù)，因此API 越來越成為攻擊者青睞的目標。據(jù) Salt Security 發(fā)布的《StateofAPI Security Q1 2023》報告顯示，在2022 年12 月份就發(fā)生了4845 起攻擊者依托 API 發(fā)起的攻擊事件，相比于過去的幾個月增加了 400%，并且目前攻擊者開始將目標逐漸轉(zhuǎn)向內(nèi)部API 和已授權的API。

3.威脅暴露面持續(xù)增多

云計算的發(fā)展和各類新型數(shù)字化技術的使用，使得軟件信息系統(tǒng)的存在形態(tài)發(fā)生了顯著變化，微服務、無服務、容器、API 等已經(jīng)成為構建云應用的重要技術，新技術的應用使得企業(yè)的威脅暴露面持續(xù)增多，例如，應用程序和服務的安全漏洞、供應商的安全漏洞、企業(yè)自身的安全漏洞等，這些都給軟件供應鏈安全帶來了更大的挑戰(zhàn)。2022 年，Gartner 提出持續(xù)威脅暴露面管理（ContinuousThreat Exposure Management,CTEM），預測到2026年，采用基于持續(xù)暴露面管理計劃的企業(yè)遭受入侵的可能性將降低三倍，并給出了持續(xù)威脅暴露面管理的高級成熟度模型，指導企業(yè)實施持續(xù)威脅暴露面管理，從而最大限度的減少威脅暴露面，降低安全風險。

4.軟件安全治理困難

目前，軟件供應鏈攻擊已經(jīng)嚴重威脅到企業(yè)的安全，但是企業(yè)在對軟件資產(chǎn)及供應鏈安全治理方面的能力建設仍然存在欠缺，軟件安全治理所面臨的主要安全問題可以總結為如下幾個方面： 缺乏成熟的軟件安全管理體系，企業(yè)面向軟件供應鏈的軟件安全管理體系還未制定完善，軟件安全開發(fā)、軟件安全測試以及開源組件的風險整改仍然缺乏指導； 軟件資產(chǎn)信息掌握不全面，由于軟件本身的復雜性，使得企業(yè)在掌握軟件信息方面存在很大的困難，如何對存量軟件資產(chǎn)和新增軟件資產(chǎn)的信息進行有效采集，構建軟件資產(chǎn)的全面畫像需要重點解決； 軟件成分信息不透明，開源軟件成為各行業(yè)信息系統(tǒng)的重要組成，對開源軟件和開源組件進行識別和風險評估，才能使軟件的成分和風險更加透明； 漏洞識別不全且修復成本高，由于軟件的成分復雜，漏洞多樣，有效地確定軟件漏洞仍然存在挑戰(zhàn)，另外，漏洞的修復大部分情況會要求進行軟件升級，但是軟件升級需要考慮兼容性和組件之間的依賴關系，由于不兼容而導致的軟件無法修復的現(xiàn)象普遍存在。

5.APT 攻擊更加復雜

APT 攻擊一直是我國面臨的最嚴重的網(wǎng)絡安全威脅之一，一些國家級的 APT 組織在其政府的支持下，持續(xù)對我國的軍事、政府、金融、能源等高價值行業(yè)發(fā)起攻擊，特別是近兩年受到新冠疫情和地緣政治沖突的影響，APT 攻擊相比以往更加復雜。據(jù)中國信息安全測評中心本年度發(fā)布的《全球高級持續(xù)性威脅（APT）態(tài)勢報告》顯示，我國面臨的APT 網(wǎng)絡攻擊威脅是全方位的，并且呈現(xiàn)出了攻擊數(shù)量持續(xù)增加、攻擊手段日益復雜、攻擊目標彌散的特點。當前，漏洞利用成為了 APT 組織攻擊的重要切入點，各 APT 組織不僅追求穩(wěn)定、高效的漏洞利用技術，在漏洞的選擇上更加追求易用性、時效性以及是否能獲取目標控制權限的攻擊能力。

因此，零日漏洞、在野漏洞和供應鏈漏洞的利用日益增多。例如，2022年曝光的 Spring4Shell 漏洞、2021 年曝光的Log4j 漏洞，均成為了網(wǎng)絡安全事件的“策源地”，很多 APT 組織針對該漏洞進行定制化武器改造，并以此開展網(wǎng)絡攻擊。

6.云安全進入下半場

云計算經(jīng)過多年的發(fā)展和應用，經(jīng)歷了云計算1.0 虛機時代和云計算 2.0 原生時代。如今，隨著 ChatGPT 的推出和應用，即將進入3.0 智能時代，新時代下云安全將重點圍繞云原生安全、云應用安全和云數(shù)據(jù)安全開展，其中原生安全是基石、應用安全是核心、數(shù)據(jù)安全是目標。 云原生架構中以容器、微服務、DevOps、持續(xù)交付和Serverless為代表的技術大量使用，這些技術的使用，改變了云環(huán)境主流的基礎設施形態(tài)，加快了業(yè)務響應和流轉(zhuǎn)速度，有效縮短了交付周期，但是新技術的使用也極大增加了軟件供應鏈的復雜性，云上業(yè)務系統(tǒng)的供應鏈安全也面臨著嚴峻挑戰(zhàn)。