聚焦热点 | ISC 2022软件供应链安全治理与运营论坛圆满落幕

“软件供应链的开源化使得软件供应链的各个环节都不可避免地受到开源应用的影响。尤其是开源应用的安全性，将直接影响着软件供应链的安全性。除开源应用开发者在开发过程中引入安全缺陷之外，也可能会存在开发者有目的性地预留的安全缺陷，甚至存在攻击者将含有隐藏性恶意功能的异常行为代码上传到上游开源代码托管平台，以便实施定向软件供应链攻击的安全风险。上述开源应用中存在的众多安全问题，都将导致软件供应链安全隐患大大增加，使得安全形势更加严峻。”——摘自子芽新书《DevSecOps敏捷安全》

2022年8月2日，由悬镜安全主办、OpenSCA联合承办的第十届互联网安全大会（以下简称“ISC 2022”）软件供应链安全治理与运营论坛隆重召开。本次论坛由悬镜安全创始人&CEO、OpenSCA创始人子芽出品，旨在携手软件供应链安全领域的专家学者、行业领袖、企业代表、技术精英就各行业对软件供应链安全治理与运营理念的创新实践进行分享与探讨。

会上，子芽分享了其对软件供应链安全领域的深刻洞察；悬镜安全与ISC联合发布《软件供应链安全治理与运营白皮书（2022）》；来自工信部第五研究所、中国信通院、国家工业信息安全发展研究中心、中国移动、易车、汇丰的多位安全专家基于自身研究和实践成果进行了主题演讲；来自中兴通讯、平安壹钱包、用友、东方通、博云的行业领袖还围绕论坛主题进行了圆桌讨论。可谓精彩纷呈。

领导致辞

合作共赢，保障软件供应链安全

 工业和信息化部电子第五研究所信息安全中心主任  卢列文

卢列文在开场致辞中指出，随着数字化转型进程的加快以及开源代码的广泛应用，软件供应链日趋复杂多元，软件供应链安全风险不断加剧，针对软件供应链薄弱环节的攻击愈演愈烈，软件供应链安全已成为影响软件安全的关键因素之一，治理和运营工作势在必行。

他表示，我国高度重视软件供应链安全，《网络安全审查办法》《关键信息基础设施安全保护条例》《“十四五”软件和信息技术服务业发展规划》等一系列政策法规及标准制度，成为保障软件供应链安全的坚实后盾。他也欣喜地发现，许多机构、企业和安全厂商正积极围绕国家发展战略和相关法规，为提升软件供应链安全治理和运营水平而不懈努力着。

最后他提出，合作共赢是软件供应链安全的发展趋势，他所在的五所愿与大家一道，为保障软件供应链安全、建立可信开源生态贡献智慧和力量，倾力打造安全可信的软件供应链，保障数字中国安全稳定建设。

出品人洞察

云原生场景下软件供应链风险治理技术浅谈

 悬镜安全创始人&CEO、OpenSCA创始人、《DevSecOps敏捷安全》作者  子芽

在随后的出品人洞察环节中，子芽分享了其对云原生场景下软件供应链风险治理技术的研究成果和趋势研判。首先他指出，从云原生时代软件供应链技术的跃迁式演进中，不难发现四个新的变化：

1.新制品：软件成分从早期的闭源到混源再到开源主导；

2.新发布：开发过程从传统的瀑布式到敏捷再到DevOps研运一体化；

3.新技术：数字化应用架构从早期的单体应用到SOA（Service-Oriented Architecture，面向服务的架构）再到微服务；

4.新环境：数字化基础设施从传统的IDC物理机到虚拟化再到容器化。

也正是这四个新变化，促使DevSecOps成为云安全发展中的变革型技术，也使得软件供应链安全风险面有一定的延展。其中，对开源风险的治理是整个软件供应链安全保障的关键点之一。

基于软件供应链开源治理的四大痛点即“看不清”、“摸不透”、“跟不上”和“防不住”，子芽总结出了建立规范开源治理体系的四要素：以人为本，源头赋能；统一入口，把控源头；安全前置，资产梳理；分批整改，积极防御。

随后，他重点介绍了悬镜原创的代码疫苗技术，它能在软件供应链的开发和使用环节，对安全风险进行治理和运营。通过深度整合的单探针，代码疫苗技术不但能在开发测试环节利用IAST进行应用安全风险检测、开源成分分析以及API挖掘，而且能在部署和运营环节利用RASP提供积极防御和未知危险免疫的能力。而通过代码疫苗这类DevSecOps敏捷安全技术及配套的软件供应链模块化安全服务，就能实现软件供应链全周期安全管理。

最后，子芽还分享了在“安全左移”和“敏捷右移”的需求下DevSecOps敏捷安全技术的演进趋势以及DevSecOps体系建设落地实践的步骤。

主题演讲

软件供应链安全标准体系建设与洞察

 中国信息通信研究院云计算与大数据研究所开源和软件安全部副主任  郭雪

在嘉宾主题演讲环节，郭雪首先分享了软件供应链产业的发展现状、中国信通院在软件供应链安全标准体系建设方向的研究成果以及她对产业的洞察。

通过调研，她总结，国内软件供应链安全领域仍未完全建立起安全管理体系，超过半数的企业还没建立起相关管理机制，而欧盟数据显示，近年来软件供应链安全事件的增长速率不断加快。形势并不容乐观。

在演讲中，郭雪重点介绍了中国信通院的软件供应链安全系列标准体系架构，包括覆盖供应链交界面安全传递的《软件供应链安全管理能力成熟度模型》，促进供应链交界面信息传递标准化的《软件物料清单建设总体框架》，以及一系列支撑工具能力要求比如《静态应用程序安全测试工具（SAST）能力要求》、《交互式应用程序安全测试工具（IAST）能力要求》、《开源软件组成及安全性审计平台能力要求》等。

未来产业如何发展？郭雪在演讲的最后分享了三个趋势：

1. 未来针对软件供应链相关的标准一定是在不断完善的；
2. 软件供应链安全核心技术会快速地突破和发展；
3. 软件供应链安全生态将逐步建立和完善。

开源软件漏洞库的研究和思考

 国家工业信息安全发展研究中心工程师  冯璐铭

结构合理、信息完备的开源软件漏洞库对于软件供应链安全分析十分重要。

冯璐铭先是总结了开源软件漏洞三个方面的特点：

1. 开源软件彼此相互依赖，造成漏洞载体多样；
2. 开源软件安全漏洞高发，引发连锁性风险；
3. 漏洞利用有武器化演变趋势，修复进度相对滞后。

而冯璐铭随后指出，当下开源漏洞管理混乱，比如开源漏洞在NVD中的报送和收录不严谨，且漏洞编号混乱。根据调研，他将开源软件漏洞库分为知识库和漏洞库两种。利用漏洞库能掌握漏洞具体利用细节和过程的漏洞库；利用知识库能发现开源组件中存在的已知开源软件漏洞。

最后，冯璐铭提出了对我国开源漏洞生态建设的三点建议：

1. 在技术层面，建设国家级开源软件漏洞库和知识库、攻防技术演练、威胁情报、态势感知和应急管理平台。
2. 在行业层面，鼓励和支持开源漏洞众测众研网络、平台和环境建设，针对重要开源软件发布奖励计划推广安全众测；
3. 在第三方技术服务层面，建立开源软件及项目安全测试评价机制，支持第三方机构提升安全测评能力。

基于“严选”工作机制的软件供应链安全实践与思考

 中国移动安全技术专家  王国宇

王国宇透露，中国移动为针对包括软件供应链安全在内的风险日益加剧的网络安全环境，基于网络安全相关政策法规，推出了“严选”工作机制，旨在以高标准、严测评为抓手，面向公司网络信息业务中各类产品和服务的提供方，通过一系列安全手段，实现公司网络安全能力质量可评价、信用可管理、责任可追溯的发展目标。

就是通过建立安全产品严选测评管理平台，形成自动化的安全产品测评流程管理与机制，打造软件组件物料清单，强化软件安全管理，奠定安全产品服务基础，实现安全产品面向公司内部与行业的高质量输出。

王国宇表示，在具体实践中，所集成的软件成分分析平台可提供两大应用场景：

1. 用户提供软件时，只需要提供分析文件，平台即可自动识别出多层级的软件成分（SBOM），并且提供软件成分的安全漏洞情况；
2. 用户不便提供软件时，只需要提供EXCEL等形式的软件成分列表，平台即可完成相应的组件许可证分析和漏洞分析。

易车DevSecOps实践与探索

  易车安全总监  李玲

李玲坦言，易车作为一家汽车互联网公司，不可避免会遇到许多软件供应链安全相关问题和挑战。在研发过程中，易车会从四个方面对应用进行全面风险审查：

1. 第三方开源软件的治理；
2. 自研代码通用漏洞；
3. 自研代码业务逻辑漏洞；
4. 由不合规的需求以及配置所带来的风险。

不过李玲发现，虽然他们在一些环节嵌入安全能力，但发现系统上线后仍然存在未发现的漏洞，尤其是开源软件漏洞给公司带来了严重危害。为彻底解决上述问题，易车正在积极建设DevSecOps。

李玲表示，一开始他们先做了规划，基于中国信通院发布的《研发运营一体化(DevOps)能力成熟度模型》的第6部分，分析公司现状，清楚自身所缺失的能力以及与成熟组织的差距。而随后的具体落地过程，主要包括安全文化建设、DevSecOps工具链建设、安全持续运营和安全应急响应这四个举措。

最后，李玲认为成熟的DevSecOps系统能实现6个功能，切实解决开源治理所遇到的挑战：

1. 软件资产分布可视化；
2. 软件资产跟踪定位；
3. 已知漏洞查找定位；
4. 新漏洞自检与预警；
5. 组件规范管控；
6. 开放式API接口。

DevSecOps在大型银行的落地方案和实践

 汇丰软件开发(广东)有限公司资深专家顾问  李辉强

在金融行业，DevSecOps落地又会遇到哪些机遇和挑战？李辉强表示，DevSecOps是为解决旧安全模型的痛点和和持续交付瓶颈所提出的解决方案。他们在DevSecOps实践中遇到了来自文化、技术、流程三方面的挑战，并针对性地采取应对措施，形成DevSecOps最佳实践。

在演讲中，他总结了DevSecOps的优势，分别是快速交付、节省成本、控制风险、度量化安全指标、透明化公司文化、符合Secure by Design原则等，并指出DevOps过渡到DevSecOps需要经历信息安全工具应用、信息安全培训、信息安全意识及信息安全专家培养这三个阶段，同时也表示DevSecOps的运作模型可分为DevSecOps负责人、开发团队和信息安全团队。

演讲至最后，李辉强还详细介绍了DevSecOps工具链以及集成过程，分享了其所在的汇丰科技在DevSecOps文化建立方面所采取的措施和做出的努力。

报告发布

《软件供应链安全治理与运营白皮书（2022）》

现场，在子芽和ISC主理人、360数字安全集团副总裁卜思南的共同见证下，悬镜安全与ISC联合发布了《软件供应链安全治理与运营白皮书（2022）》。悬镜安全COO董毅从报告背景、现状分析、风险治理以及报告获取这四个方面，对该报告进行了全面解读。

 董毅透露，本次报告对近5年来发生的50余起软件供应链安全事件进行了详细的分析，并整理出软件供应链的风险特性：影响范围广、造成损失大、发酵周期长和治理防范难。

报告在收录了软件供应链安全政策法规和标准以外，还整理了国外著名的软件供应链安全治理框架，并在此基础上详细介绍了悬镜结合多年实践经验总结出的软件供应链安全治理框架。

 悬镜软件供应链安全治理框架

董毅称报告还分析并总结了用来解决软件供应链安全核心问题的支撑工具，比如SBOM、SCA、RASP等，旨在帮助企业组织在进行软件供应链安全治理与运营时结合自身情况进行工具选型。

圆桌论坛

聚焦软件供应链安全治理与运营

在最后的圆桌对话环节中，中兴通讯开源合规&安全治理总监项曙明、用友集团网络安全部总经理李强、东方通集团副总裁&北京东方通软件有限公司副总经理朱木林、博云科技副总经理&董事靳亮、平安壹钱包安全DevSecOps运营负责人汪永辉以全球视野纵观软件供应链安全的发展，围绕“软件供应链安全治理与运营”的话题，就行业所关心的技术创新应用和体系落地实践相关话题展开激烈有深度且富有成效的讨论。

在谈到在业务和组织上云的云原生时代，企业面临的软件供应链安全痛点问题以及落地实践软件供应链安全治理和运营时，嘉宾从自身所处行业和企业的实际情况出发，分享了各自的真知灼见。

项曙明表示，对于中兴通讯而言，软件供应链安全的痛点包括合规和漏洞风险。他们多年来致力于两方面的工作，一是将开源治理流程规范融入原来的开发流程；二是在流程中加入了第三方开源软件全生命周期管控环节。他坦言，建立可信开源软件供应链任重道远，长久以来也一直在积极学习新的治理思路和框架。

李强基于用友多年的软件服务经验，指出软件供应链安全风险早已有之，只是开源软件的流行以及攻击事件的频发，才开始引起人们广泛关注，因而企业无须谈虎色变。如果在意识上形成重视，在业务开展过程中加强开源风险治理，企业就能逐步解决软件供应链安全问题。

朱木林表示，作为国产中间件的开创者，东方通在一开始便关注安全。对他们而言，产品质量标准的持续改进、对工作流程的管控、自动化工具的引入以及对安全意识的培养既是软件供应链安全治理和运营的关键也是痛点，但是在这个过程中必须要综合考虑自身企业以及所服务客户的具体情况，保证原有的生产效率。

靳亮坦言，在用户的产品工具对接到博云的DevOps平台后，它们的软件供应链安全问题就会暴露在平台上，以至于让用户误以为是平台出现问题，这一度让他们感到无奈。但是他们并不会为此专门建立DevSecOps安全能力，在靳亮看来术业有专攻，在无暇应对安全问题的时候，不妨寻求专业的合作伙伴去处理。

汪永辉表示，作为金融行业的一员，以往平安壹钱包主要关注交易安全、渠道安全等，较为忽视开源安全。随着软件供应链攻击事件频发、相关政策的颁布，开源风险治理的意识逐步形成，在具体治理过程中比较关心常态化运营，并会对安全隐患的修复优先级进行划分。

在圆桌对话环节结束后，ISC 2022软件供应链安全治理与运营论坛也圆满落幕。悬镜期待在明年的大会中，会有更多的有识之士分享行业前沿技术研究与创新实践成果。让我们共建可信开源生态，共同守护中国软件供应链安全。

关于悬镜安全

悬镜安全，DevSecOps敏捷安全领导者。起源于北京大学网络安全技术研究团队“XMIRROR”，创始人子芽。专注于以代码疫苗技术为内核，通过原创专利级"全流程软件供应链安全赋能平台+敏捷安全工具链”的第三代DevSecOps智适应威胁管理体系，持续帮助金融、车联网、泛互联网、能源等行业用户构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。更多信息请访问悬镜安全官网：www.xmirror.cn