软件供应链攻击正成为一种常见的非法获取商业信息的犯罪形式。提升网络安全或者软件安全已经不再是单纯的技术挑战，自上而下的安全意识和文化也不可或缺。

2023年，安全威胁形式依然复杂，软件供应链风险愈加受到关注。

有研究数据显示，现代软件系统的底层代码中超过90%都是开源的，这意味着几乎所有软件的研发与应用都存在着一条供应链，包括各种组件的引用，以及在软件设计、开发、测试、部署和维护期间所涉及的各种环节，安全漏洞随时可能出现。

由于在企业软件供应链中可能导致安全风险的因素非常复杂，因此保障软件供应链安全并非纯粹的技术性问题，而是要综合考虑人、流程和知识的问题。企业组织在解决软件供应链安全问题时，需要基于软件应用的全生命周期来考虑，监控和保护其中的每个环节。

在数字经济时代，软件安全与客户信任及业务增长之间的关联度更高，因为软件风险已经等同于业务风险。新年伊始，小编与大家分享观察到的行业趋势，希望能够帮助企业推动数字化转型或者制定软件安全计划的时候，做出更加明智、有针对性的决策；以及12条加强软件应用安全的实用建议。

6大主要趋势

随着我国信息化建设水平不断提升，国家产业政策大力支持网络安全产业发展，企业客户日益重视安全软件国产化和重要数据存储本地化，在选择网络安全产品和服务时更青睐于本土企业。

在常态化的技术储备和持续的政策催化下，网络安全行业的高景气度将继续保持，同时随着行业内技术栈及产品线的丰富与分层，各安全软件公司间的市场战略差异和特定产品竞争优势亦将不断扩大。

1. 企业开始投资安全预防控制措施

新思科技软件首席科学家Sammy Migues指出：“企业，尤其是董事会及内部风险管理委员会发现仅依靠侦查性控制去识别已存在的风险已经不足以抵抗各类攻击，比如恶意软件、勒索软件、漏洞利用或其它安全攻击。他们开始投资预防性控制措施。”

董事会或者企业高层决策者参与到软件安全计划，有助于将安全文化定位于企业数字化发展战略的重要位置。DevOps 和 DevSecOps 是企业文化变革。能将安全贯穿在业务中的企业可以更好地应对网络安全挑战，更有机会获得持续的业务增长。

2. 虚拟现实里的安全威胁真实存在

新思科技软件质量与安全部门高级安全工程师Boris Cipot表示：“近年来，数字化已经成为重要议题。每家企业都可以说是软件企业，或者依赖于软件运营。传统的硬件厂商也开始采取‘软硬兼施’的策略。比如在工业自动化企业，可编程逻辑控制器(PLC)这样的硬件部件开始转向在计算机系统上运行的虚拟化软件。虚拟现实、增强现实或者元宇宙是更高水平的数字化体现。物联网(IoT)或者说万物互联(IoE)发展将给我们的日常生活带来更多变化。但无论如何，这些技术或者设备都必须把一件事情做好，那就是安全。”

现在黑客攻击或者漏洞利用依然普遍，危及到厂商和最终用户。明年及未来几年，IoE技术会进一步发展，与其有关的安全技术概念也将产生。很多不符合规定标准的设备将被淘汰或者禁用。

3. 产品安全问责制度更加明确

新思科技软件质量与安全部门技术总监兼首席设计师Michael White表示：“许多国家和地区已经颁布或者正在制定法律法规以落实安全责任，比如美国EO 14028行政命令、欧盟 CRA条例以及英国 PSTI法案等。企业领导层必须签名，以表明他们已经采取了一切必要措施以确保产品的安全开发，并提供持续的支持，例如：在指定的生命周期内进行监控以及持续的漏洞响应(例如推出补丁)。”

此外，由于每家企业都处在供应链之中，而且大部分是位于中间环节。这意味着不仅要在企业内部，还要要求外部供应商或合作伙伴提供可信证明，以支持产品安全开发。更高的透明度是必不可少的。在创建软件物料清单(SBOM)的同时，还需要一整套监管制度，掌握使用了哪些工具、执行了哪些测试等信息。为此，很多公司开始成立开源项目办公室(OSPO)，以更高效地管理软件供应链安全。

4. 从安全平台到开发平台

新思科技软件质量与安全部门AppSec客户经理Gunnar Braun指出：“关于应用安全平台的讨论热度不减。开发人员通过这些平台，为软件开发生命周期(SDLC) 中越来越多的 AppSec 工具编排扫描和整合结果。相信在2023年依然如此。同时，我们也看到了对AppSec 工具的需求正在攀升，以将其集成到 GitHub 等开发平台中。”

5. 软件定义浪潮席卷汽车业

新思科技首席汽车安全策略师Dennis Kengo Oka表示：“2023 年，汽车业对网络安全的需求将持续增加，因为车辆开发更多地转向‘软件定义汽车’。汽车业正在部署更先进和更复杂的解决方案，包括自动驾驶，不仅涉及车辆本身，还涉及后端系统和用户的移动设备。 这种汽车生态系统的攻击面自然也会随之增加。因此，汽车业必须继续遵循最佳实践和网络安全标准，不仅面向车辆开发，而且覆盖整个汽车生态系统。 特别是在软件开发方面，汽车厂商采用更敏捷开发方式，更快进行开发和更早执行测试，以尽早发现和修复缺陷。持续监控安全漏洞的需求也正变得越来越多。”

6. ASOC将发挥越来越关键的作用

新思科技中国区软件应用安全业务总监杨国梁表示：“应用安全编排和关联(ASOC)是AppSec解决方案的一个环节，通过工作流自动化来简化漏洞测试和修复工作。其最重要的优势在于能够提高DevSecOps的效率。产品迭代的速度越来越快，这一点在2023年也依然不会改变。敏捷开发需要更快的速度和更有效的工具。但如何对资源和修复活动进行高效管理给安全团队带来了巨大的挑战。ASOC 则在帮助应对这些挑战方面发挥着关键作用：改进资源分配、集中式漏洞管理、更好地了解风险、连续和自动扫描以及自动化AppSec流程。随着对安全团队的要求不断增多，越来越多的安全漏洞将使得安全和开发团队负载过重， ASOC无疑将在缓解该负载方面发挥越来越关键的作用。”

构建安全软件供应链的12条建议

建议1

制定供应链安全计划，由CISO负责

保障软件供应链安全不只是某个部门的事，而是需要成为企业整体发展战略计划的一部分，并让左右人都能理解这样做的原因。为了确保软件供应链顺畅平稳运行，组织首先要做的一件事就是制定一项严密的安全防护计划，并聘请专职的首席安全官（CISO）来制定和落地这项计划，而不是只是将计划发布出来而已。

建议2

确保供应链的可观察性

很多企业长期以来只关注自身网络安全的防护，而忽略了供应商产品的安全状况，导致未经过严格安全认证与审核的访问进入企业，带来巨大风险。确保供应链的可观察性必不可少，软件供应链天然具有复杂性，只有通过持续的监控分析，企业才能保证它们的安全进化和发展，并确保长期可用性和安全性。

建议3

部署软件供应链管理系统

大多数企业对开发人员在研发时的开源代码引用和软件依赖关系缺乏足够了解。如果不能有效清点软件中的所有第三方组件，当严重的零日漏洞突然发生时，组织将无法了解自己是否会受到影响，哪些应用会受到影响，以及影响的严重性如何。如果组织部署了软件供应链管理系统，就能够准确判断威胁态势，并立即开始补救，避免安全事件发生。

建议4

基于SBOM制定分类计划

软件材料清单（SBOM）最近备受行业关注，但应用SBOM只是基础，目的是可以了解软件产品的各个组成部分。更关键的是，企业应该基于已发现漏洞情报信息进行威胁分析，对识别出的各种威胁进行分类，并以此创建威胁处置流程。通过不断重复上述工作，企业还可以不断完善威胁处置流程。

建议5

运用零信任策略

企业组织在构建安全软件供应链时，积极运用零信任策略是一项非常实用的保障措施。在供应链合作中，通过遵循零信任原则，企业可以更好审核供应链服务的安全性，所有对于系统的访问都会建立在身份、端点、服务等一系列角色基础上，必须得到安全策略一致的验证和授权之后才能进行。

建议6

将安全检查融入开发流程

企业应重视开发安全运营（DevSecOps）。一种方法是将安全检查工作列为开发人员必须完成的任务之一。无论是软件设计过程中的威胁建模、错误修复，还是封堵代码中的安全漏洞，应用安全问题都需要被开发人员优先考虑，并成为其日常开发工作的一部分。如果这部分工作要求没有完成，就意味着其整个开发工作不能结项。

建议7

及时进行补丁更新

及时进行安全补丁和软件版本更新是构建安全软件供应链的重要步骤。为了保证第三方软件及开发者值得信赖，在部署安全补丁和版本升级之前，还需要有适当的措施来对其进行安全审查和监控。

建议8

贯彻安全编程和测试实践

企业在构建安全软件供应链时应该贯彻安全编程和测试实践，因为它有助于在开发过程的早期阶段识别和缓解安全漏洞，保护整个软件系统免受攻击。这一点很重要，因为软件供应链往往涉及多个第三方合作伙伴，所有开发团队及人员均应该保持一直的安全编程要求。

建议9

定期进行离线代码备份

科学的备份机制是防止数据窃取和勒索攻击的最后一条防线。如果企业大量应用了云计算技术，定期进行离线代码备份工作将非常重要。企业应该定期审查软件服务提供商，尤其是提供关键应用组件、销售系统、财务系统的提供商。一旦发现存在风险，就应该及时手动执行离线的数据备份或数据恢复。

建议10

制作一份检查清单

企业了解软件供应链是否安全的最好方法就是制作一份检查清单，并以此进行安全状态检查。检查清单可以让每个人都成为安全把关员，从而打造一条安全的软件供应链。不同类型企业对供应链安全检查的要求会有差异，但清单通常应包括以下8个检查点：访问控制、安全存储、加密、安全传输、漏洞管理、定期更新、跟踪系统和纠正措施。

建议11

应用安全协作平台

软件系统的安全性取决于其生命周期中的最薄弱环节。随着现代软件供应链的全球化趋势发展，跨不同平台和多个数据集进行协作开发的需求急剧加大。虽然许多企业组织已采用了基于云的协作开发平台，但目前软件供应链上协同沟通的最常见方式还通过邮件、电子表格和社交工具。企业应该购置统一的安全开发协作平台来降低隐患。

建议12

加强工程师的安全教育

保障数字化业务的安全开展已经得到业界普遍认同，企业组织也正在投入很多资源打造安全的软件供应链，并取得了一定的进展，但人依然是整个软件供应链中最薄弱的因素。因此，企业需要加强内、外部软件工程师的安全意识教育，帮助他们提高对新工具、新技术和新威胁的认识。

文章来源： 安全牛，比特观察，噗嗤一愣