「藍色畫面」事件背後,保障軟體供應鏈安全的4個要素你知道嗎?
隨著軟體技術的發展以及產業情勢的變化,我們對軟體產品的關注角度也在不斷改變——從傳統的軟體產品品質(如功能、性能效率、相容性、可靠性等)到軟體產品的訊息安全性(如保密、完整性、抗抵賴性等),再到目前備受關注的軟體供應鏈安全。
2024年7月的微軟「藍色畫面」事件,再次引發了人們對軟體供應鏈安全的高度關注。那麼,我們該如何理解軟體供應鏈安全呢?首先,要了解軟體供應鏈的概念:軟體供應鏈是“需方和供方基於供應關係,開展並完成軟體採購、開發、交付、獲取、運維和廢止等供應活動而形成的網鏈結構” 。
其次,要了解軟體供應鏈常見安全風險:包括軟體漏洞、惡意篡改、軟體後門、供應鏈劫持、智慧財產權違規使用、供應中斷、資訊外洩等。再次,要了解軟體供應鏈安全的目標:在確保軟體程式碼安全的基礎上,使得使用者能夠安全、持續、穩定地使用軟體產品及軟體所涉及的支援服務。最後,要了解保障軟體供應鏈安全的4個要素(如圖1):軟體程式碼來源、軟體程式碼安全、軟體傳播與使用安全、軟體創新與演進。以下將為您詳細介紹這4個要素。
圖1 保障軟體供應鏈安全的4個要素
掌握軟體程式碼來源確定軟體程式碼來源是分析軟體供應鏈的基礎,可以透過建立軟體物料清單(SBOM)明確技術來源,使軟體供應鏈清晰、透明。軟體物料清單包含建構軟體所使用的各種組件的詳細資訊及供應鏈上下游依賴關係。
確保軟體程式碼安全軟體程式碼安全依賴軟體生產過程及成果物的安全。一方面,確保軟體生產流程(即軟體開發)涉及的開發環境(包括各類開發工具、平台)、開發配置、安全功能設計、程式碼實現與託管、測試、開發人員等因素的安全;另一方面,確保最終成果物(即軟體)的程式碼品質符合安全要求,即對軟體原始碼、二進位程式碼等進行安全檢測,查看是否有病毒、安全漏洞、後門、惡意程式碼等。
確保軟體傳播與使用安全軟體的價值在於廣泛傳播和使用。軟體傳播主要從智慧財產權合規、軟體發布與交付2個面向考查其安全性。智慧財產權合規確保軟體的傳播不會引入與智慧財產權相關的法律風險,軟體發布與交付要確保使用者取得的軟體不會被惡意篡改。軟體使用主要從軟體的運作環境、升級維護及安全保障3個面向考查其安全性。運作環境包括底層的伺服器、虛擬機器、容器等,升級維護包括技術支援、版本升級、修補程式更新等,安全保障主要從漏洞的發現、影響範圍排查、處置、上報、修復等方面進行考查。
增強軟體創新與演進能力軟體供應鏈安全的關鍵在於對核心技術的掌控,不僅體現在能獨立自主研發及實現軟體的核心模組或元件,還包括對開源軟體中核心程式碼、核心技術的吸收。因此,可從軟體核心模組自主研發能力、核心模組替換方案、客製化最佳化能力、對上游社群的程式碼維護貢獻、社群及產業成熟度等方面衡量軟體的創新演進能力。
【摘编自《保密科学技术》2024年2月刊《软件供应链安全能力模型研究》一文,作者: 翟艳芬、袁薇、王郁】
Comments
Warning: count(): Parameter must be an array or an object that implements Countable in /var/www/html/wwwroot/itrenzheng.hk/wp-includes/class-wp-comment-query.php on line 399
Tell me what you're thinking...
and oh, if you want a pic to show with your comment, go get a gravatar!