吳云坤：供應(yīng)鏈安全是工業(yè)軟件發(fā)展的底板

“在工業(yè)軟件發(fā)展過(guò)程中，保障開(kāi)發(fā)、交付和應(yīng)用全生命周期中的安全已成為‘底板’工程，這就需要首先建立工業(yè)軟件的供應(yīng)鏈安全體系，確保供應(yīng)鏈安全。”在4月26日舉辦的數(shù)字中國(guó)建設(shè)峰會(huì)數(shù)字技術(shù)創(chuàng)新分論壇上，奇安信集團(tuán)總裁吳云坤演講時(shí)強(qiáng)調(diào)，目前，針對(duì)工業(yè)軟件的供應(yīng)鏈攻擊已經(jīng)成為主流攻擊手段，多樣化的方式實(shí)施攻擊，給政企機(jī)構(gòu)及關(guān)鍵信息基礎(chǔ)設(shè)施帶來(lái)了巨大的安全風(fēng)險(xiǎn)。

工業(yè)軟件面臨三大供應(yīng)鏈安全挑戰(zhàn)

吳云坤認(rèn)為，作為工業(yè)互聯(lián)網(wǎng)的重要支撐技術(shù)，工業(yè)軟件面臨著三大供應(yīng)鏈安全挑戰(zhàn)：

第一，開(kāi)源軟件安全挑戰(zhàn)。我國(guó)工業(yè)軟件基礎(chǔ)薄弱，對(duì)開(kāi)源軟件的依賴度高，而開(kāi)源軟件的安全漏洞，會(huì)直接影響工業(yè)軟件的安全。奇安信在一次針對(duì)國(guó)內(nèi)2188個(gè)軟件項(xiàng)目的研究中發(fā)現(xiàn)，所有軟件均使用了開(kāi)源組件，其中存在漏洞的項(xiàng)目為1695個(gè)，占比高達(dá)77.5%。

第二，軟件開(kāi)發(fā)帶來(lái)的安全挑戰(zhàn)。程序員在編寫(xiě)代碼過(guò)程當(dāng)中，缺陷是無(wú)法避免的，而能夠被黑客利用的缺陷就成了漏洞。統(tǒng)計(jì)數(shù)據(jù)顯示，程序員手敲原始代碼1000行會(huì)出現(xiàn)14.22個(gè)缺陷，其中可能包含有0.72個(gè)高危缺陷。

第三，復(fù)雜的軟件圖譜帶來(lái)的安全挑戰(zhàn)。軟件圖譜復(fù)雜，代碼重復(fù)使用帶來(lái)了漏洞和后門(mén)擴(kuò)散、惡意模塊傳播、不可靠的網(wǎng)絡(luò)資源引入等安全隱患。新的軟件中，可能包含有漏洞的老模塊；一個(gè)漏洞爆發(fā)后，可能會(huì)影響到大量軟件。2020年12月，網(wǎng)絡(luò)安全管理軟件供應(yīng)商SolarWinds遭遇APT團(tuán)伙供應(yīng)鏈攻擊并植入木馬后門(mén)，該攻擊直接導(dǎo)致18000+機(jī)構(gòu)受到影響：可任由攻擊者操控。其中，很多工業(yè)控制系統(tǒng)中，都存在著可被攻擊者利用的SolarWinds版本，因此受到很大影響。

以內(nèi)生安全框架解決工業(yè)軟件供應(yīng)鏈安全挑戰(zhàn)

吳云坤說(shuō)：“軟件供應(yīng)鏈之所以被攻擊，是因?yàn)楣��?yīng)鏈的每個(gè)環(huán)節(jié)都存在的大量的漏洞，可以被攻擊者利用。”

在開(kāi)發(fā)環(huán)節(jié)，存在開(kāi)源組件的漏洞和后門(mén)、程序員編碼帶來(lái)的漏洞、編譯環(huán)境污染等安全隱患；在交付環(huán)節(jié)，存在下載源不可靠、代理商或者集成商引入惡意代碼等隱患；在使用環(huán)節(jié)，存在軟件升級(jí)、打補(bǔ)丁過(guò)程中被攻擊者劫持等安全隱患。

面對(duì)無(wú)所不在的供應(yīng)鏈安全隱患，“頭痛醫(yī)頭腳痛醫(yī)腳”的局部安全建設(shè)模式已經(jīng)不能滿足需求，政企機(jī)構(gòu)需要把工業(yè)軟件供應(yīng)鏈安全融入到整個(gè)工業(yè)信息化和工業(yè)互聯(lián)網(wǎng)角度來(lái)統(tǒng)籌規(guī)劃。

對(duì)此，奇安信基于長(zhǎng)期的網(wǎng)絡(luò)安全實(shí)踐提出了內(nèi)生安全框架，以系統(tǒng)工程方法論結(jié)合內(nèi)生安全理念，從工業(yè)軟件、工業(yè)互聯(lián)網(wǎng)視角，構(gòu)建包括工業(yè)軟件在內(nèi)的工業(yè)信息系統(tǒng)整體防護(hù)體系；通過(guò)分解為可落地實(shí)施的“十大工程五大任務(wù)”，推動(dòng)工業(yè)供應(yīng)鏈全生命周期的安全體系規(guī)劃、建設(shè)和運(yùn)行，滿足數(shù)字化轉(zhuǎn)型和智能化升級(jí)的信息化保障需求。

吳云坤說(shuō)，“十大工程五大任務(wù)”對(duì)每個(gè)組件的部署位置、部署順序、部署要求都給予了詳細(xì)的說(shuō)明，就像房子裝修有水電改造、刷漆、鋪地板等固定流程。在某個(gè)項(xiàng)目安全建設(shè)過(guò)程中，奇安信依托“十大工程五大任務(wù)”的，為136個(gè)信息化組件，總結(jié)出了29個(gè)安全區(qū)域場(chǎng)景，部署了79類安全組件。

作為“十大工程五大任務(wù)”中重要任務(wù)之一，“應(yīng)用安全能力支撐”任務(wù)中的一個(gè)建設(shè)重點(diǎn)就是供應(yīng)鏈安全體系建設(shè)。據(jù)介紹，奇安信推出的軟件供應(yīng)鏈全生命周期安全解決方案，在整個(gè)軟件生命周期融入安全培訓(xùn)、安全需求評(píng)估、安全設(shè)計(jì)、安全開(kāi)發(fā)、安全測(cè)試、安全部署運(yùn)行、安全使用等八大流程和措施，來(lái)保障軟件從開(kāi)發(fā)、交付到應(yīng)用的全過(guò)程、全生命周期安全。

四大關(guān)鍵技術(shù)能力打造供應(yīng)鏈安全“護(hù)身符”

吳云坤表示，奇安信推出的軟件供應(yīng)鏈全生命周期安全解決方案運(yùn)用了四大關(guān)鍵技術(shù)能力：

第一，軟件空間測(cè)繪能力。它通過(guò)采集不同平臺(tái)、不同類型的全網(wǎng)軟件，借助靜態(tài)結(jié)構(gòu)分析、動(dòng)態(tài)跟蹤分析、沙箱行為分析等手段，從不同維度對(duì)軟件進(jìn)行深度分析和細(xì)粒度拆解，形成軟件空間測(cè)繪能力，為軟件供應(yīng)鏈安全分析相關(guān)工作提供支撐。

第二，源代碼成分風(fēng)險(xiǎn)分析。通過(guò)智能化數(shù)據(jù)收集引擎，奇安信可在全球范圍內(nèi)獲取開(kāi)源軟件資產(chǎn)信息及其相關(guān)漏洞信息，并利用自主研發(fā)的開(kāi)源軟件分析引擎，為企業(yè)提供開(kāi)源軟件資產(chǎn)識(shí)別、安全風(fēng)險(xiǎn)分析、漏洞告警及安全管理等功能。截止目前，奇安信代碼安全實(shí)驗(yàn)室已檢測(cè)3000余款開(kāi)源軟件，積累了大量的開(kāi)源軟件安全缺陷基礎(chǔ)數(shù)據(jù)。

第三，源代碼安全缺陷及后門(mén)分析。奇安信能夠?qū)⒃创�碼安全檢測(cè)融入企業(yè)開(kāi)發(fā)流程，實(shí)現(xiàn)軟件源代碼安全目標(biāo)的統(tǒng)一管理、自動(dòng)化檢測(cè)、差距分析、Bug修復(fù)追蹤等功能，幫助企業(yè)以最小代價(jià)建立代碼安全保障體系并落地實(shí)施，解決軟件開(kāi)發(fā)過(guò)程中的安全缺陷及漏洞、安全合規(guī)性等問(wèn)題。

第四，聯(lián)網(wǎng)設(shè)備成分風(fēng)險(xiǎn)分析。2019年初，奇安信發(fā)起了一個(gè)針對(duì)聯(lián)網(wǎng)設(shè)備固件的安全檢測(cè)計(jì)劃，其中一項(xiàng)重要檢測(cè)內(nèi)容是針對(duì)固件中引用的開(kāi)源軟件的檢測(cè)和漏洞分析。

據(jù)了解，奇安信軟件供應(yīng)鏈安全解決方案已經(jīng)在工信部工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展工程的工業(yè)軟件源代碼漏洞檢測(cè)工具項(xiàng)目、北京冬奧組委應(yīng)用系統(tǒng)生命周期管理等多個(gè)場(chǎng)景中落地實(shí)踐。

另外在論壇期間，由工信部五所聯(lián)合奇安信、華為、阿里、百度、騰訊、浪潮、麒麟、統(tǒng)信等公司發(fā)起的“關(guān)鍵基礎(chǔ)軟件供應(yīng)鏈保障聯(lián)合創(chuàng)新實(shí)驗(yàn)室”正式成立，為我國(guó)軟件供應(yīng)鏈安全保駕護(hù)航。