軟件供應鏈安全治理實踐指南白皮書 2023

1 3 5 5 6 13 20 202.2API風險日益突出 22 25 262.5APT攻擊更加復雜 27 28 29 293.1.1SLSAv1.0框架 293.1.2SSDF框架 31 323.2.1理念一：可展示軟件成分 3223.2.1理念二：可評估軟件供應鏈過程 353.2.3理念三：可信任軟件供應鏈 373.2.4理念四：可持續(xù)運營與管理 38 393.3.1安全管理 403.3.2基礎安全原子能力 423.3.3持續(xù)監(jiān)控與運營能力 62 774.1DevSecOps實踐 774.2源軟件安全治理實踐 80 845.1SBOM能力日漸成熟 84 84 85 86 883軟件的風險和軟件供應鏈的安全風險已經(jīng)嚴重威脅到企業(yè)的軟件安軟件供應鏈安全能力建設的不完善以及軟件供應鏈安全態(tài)勢持續(xù)監(jiān)4安全。5一、軟件供應鏈安全概述1.1軟件供應鏈安全概念代升級，并且成為了全球軟件技術和產(chǎn)業(yè)創(chuàng)新的主導模式。據(jù)6定義?！禛B/T36637-2018信息安全技術ICT供應鏈安全風險管理1.2軟件供應鏈主要安全事件近年來，攻擊者利用軟件供應鏈進行攻擊的事件頻發(fā)，據(jù)7可靠，對于整個軟件生態(tài)系統(tǒng)的安全至關重要。圖1軟件供應鏈攻擊事件，20198序號關鍵詞事件描述影響2023年3月openAI數(shù)據(jù)泄露由于Redis開源庫中的一個錯誤導致ChatGPT服務中暴露了其他用戶的個人信息和聊天標題。至少導致1.2%的ChatGPTPlus用戶的個人信息和其他用戶的聊天查詢被泄露。2.2023年2月PyPI倉庫被持續(xù)投毒中存在多個流氓軟件包，通過這些軟件包攻擊者能夠netstat工具以及操作SSHauthorized_keys文件等。軟件包被刪除之前被下載超過450余3.2022年6月PyPI倉庫遭遇投毒PyPI官方倉庫被攻擊者上傳了agoric-sdk、datashare、datadog-agent等150+個惡意釣魚包。上傳后僅6個小時就有225次的下載。94.2022年4月政治制裁俄烏戰(zhàn)爭期間，GitHub官方根據(jù)美國政府提出的出口管制和貿(mào)易法規(guī)要求，針對俄羅斯GitHub用戶開始無差別封禁賬號，包括俄羅斯銀行Sberbank、俄羅斯最大的私人銀行Alfa-Bank和其他公司賬戶。受制裁企業(yè)將無法再使用GitHub作為代碼管理平臺，同時企業(yè)與個人賬號內(nèi)容將被清除，所有repo立即無法訪問，issue和pullrequest也將受限；俄羅斯可能將無法獲得正式使用部分開源軟件應有的支持和更新。5.2022年4月Spring4ShellSpringFramework是一SpringFramework遠程代碼執(zhí)行漏洞（CVE-2022-22965）在互聯(lián)網(wǎng)小范圍內(nèi)公開后，其影響面迅速擴大，此漏洞成為了2022年上半年熱度最大的漏洞，也是近幾年來Spring是一個非常流行的框架，60%的Java開發(fā)人員依賴它來開發(fā)應用程序，由于此框架在Java生態(tài)系統(tǒng)中處于主導地位，大量應用程序會受“Spring4shell”零最嚴重的網(wǎng)絡安全威脅之一。日漏洞的影響。6.2022年3月Node-ipc投毒node-ipc是使用廣泛的npm開源組件，其作者出于其個人政治立場在該項目的代碼倉庫中進行投毒，在代碼中加入了針對俄羅斯和白俄羅斯IP用戶刪除、覆蓋磁盤文件的惡意代碼，通過peacenotwar組件在用戶桌面添加防止反戰(zhàn)標語。等應用廣泛的第三方軟件受到該事件影響。7.2022年1月NodeJS依賴包faker和color投毒faker.js是用于生成偽造數(shù)據(jù)的JavaScript庫，colors.js是為前端開發(fā)者提供的一個簡單的顏色管理API。本次事件兩個包的作者向兩個包中提交了惡意代碼，進行了供應鏈投毒后將其發(fā)布到了Github和npm包管理器中。使用了colors.js和faker.js的包的項目，直接引用和間接引用都會受到影響。8.2021年12月Log4j2漏洞ApacheLog4j2是一個開源基礎日志庫，是對Log4j組件的升級，被廣泛用于開目支持屬性查找，并能夠將各種屬性替換到日志中。用戶可以通過JNDI檢索變量，但是由于未對查詢地址做好過濾，存在JNDI注入漏洞。Log4j2應用極其廣泛，影響范圍極大，同時隨著供應鏈環(huán)節(jié)增多、軟件結構愈加復雜，上述漏洞也更加難以發(fā)現(xiàn)、修復（尤其是間接使用到該組件的項目）。9.2021年10月ua-parser-js投毒攻擊ua-parser-js作為一個周下載量超過700萬的npm包，被攻擊者投毒，攻擊者發(fā)布了三個新版本，每個版本都包含了安裝時會觸發(fā)下載遠程惡意腳本的代碼。這個包被近1000個其他第三方包依賴，造成的影響極其廣10.2020年12月軟件供應商被攻擊SolarWinds遭遇國家級APT團伙的供應鏈攻擊，對美國各個行業(yè)的大量客戶產(chǎn)生了嚴重影響。造成大量數(shù)據(jù)泄露，包括機密資料、源代碼以及電子郵件等。美國政府、國防承包商、金融機構和其他許多組織都受到了影響。需求方供應方攻擊技術攻擊技術信任關系濫用釣魚惡意軟件感染物理攻擊或修改偽冒數(shù)據(jù)個人數(shù)據(jù)知識產(chǎn)權軟件進程帶寬財務相關人員惡意軟件感染社會工程攻擊爆破攻擊漏洞利用配置缺陷利用開源情報預置軟件軟件倉庫源代碼配置文件數(shù)據(jù)進程供應方相關人員1.3國內(nèi)外政策法規(guī)及標準序號法律法規(guī)美國2023年美國發(fā)布《2023年國家網(wǎng)絡安全戰(zhàn)略》，指出美國行政管理和預算局（OMB）將與美國網(wǎng)絡安全和基礎設施安全局（CISA）協(xié)調制定行動計劃，通過集體防御、擴大集中式共享服務的可用性和軟件供應鏈風險緩解來保護FCEB系統(tǒng)。2.2022年美國網(wǎng)絡安全和基礎設施安全局（CISA）主導成立的ICT供應鏈風險管控工作組制定了2022年的工作計劃，工作組計劃將軟硬件物料清單以及加大對中小企業(yè)的影響力作為其供應鏈風險治理的重點。3.2021年美國相繼發(fā)布《關于改善國家網(wǎng)絡安全》的14027號總統(tǒng)行政令，明確要求美國聯(lián)邦政府加強軟件供應鏈安全管控；14017號《確保美國供應鏈安全》行政令，要求對包括半導體芯片在內(nèi)的ICT產(chǎn)品開展供應鏈風險審查，以建立更具韌性、安全可靠的美國供應鏈。4.2019年美國特朗普政府簽署了名為《確保信息和通信技術及服務供應鏈安全》的行政令，宣布美國進入受信息威脅的國家緊急狀態(tài)，禁止美國個人和各類實體購買和使用被美國認定為可能給美國帶來安全風險的外國設計制造的ICT技術設備和服務。5.2018年美國國會通過了《安全技術法案》，《聯(lián)邦采購供應鏈安全法案2018》作為該法案的第二部分一并簽發(fā)。《聯(lián)邦采購供應鏈安全法案2018》創(chuàng)建了一個新的聯(lián)邦采購供應鏈安全理事會并授予其廣泛權利，為聯(lián)邦供應鏈安全制定規(guī)則，以增強聯(lián)邦采購和采購規(guī)則的網(wǎng)絡安全彈性。6.2014年美國國會提議了《網(wǎng)絡供應鏈管理和透明度法案》，意在確保為美國政府開發(fā)或購買的使用第三方或開源組件以及用于其他目的的任何軟件、固件或產(chǎn)品的完整性。7.2022年歐盟發(fā)布了題為《網(wǎng)絡彈性法案》（CyberResilienceAct）的草案，旨在為聯(lián)網(wǎng)設備制定通用網(wǎng)絡安全標準。法案要求所有出口歐洲的數(shù)字化產(chǎn)品都必須提供安全保障、軟件物料清單SBOM、漏洞報告機制，以及提供安全補丁和更新。8.2021年歐盟網(wǎng)絡和信息安全局（ENISA）發(fā)布了《供應鏈攻擊威脅全景圖》，該報告旨在描繪并研究從2020年1月至2021年7月初發(fā)現(xiàn)的供應鏈攻擊活動。該報告通過分類系統(tǒng)對供應鏈攻擊進行分類，以系統(tǒng)化方式更好地進行分析，并說明了各類攻擊的展現(xiàn)方式。9.2019年歐盟《外國直接投資審查條例》生效。該條例指出，歐盟有權對參與5G網(wǎng)絡等關鍵基礎設施投資的外商進行審查和定期監(jiān)控，以保障5G網(wǎng)絡等關鍵基礎設施的安全性，同時避免關鍵資產(chǎn)對外商的過度依賴。這也是歐盟保障5G供應鏈安全的有效工具。10.2015年歐盟網(wǎng)絡和信息安全局（ENISA）發(fā)布《供應鏈完整性：ICT供應鏈風險和挑戰(zhàn)概述和未來愿景》報告，建議建立統(tǒng)一的ICT供應鏈安全風險評估框架來開展ICT供應鏈安全評估工作。11.2013年歐盟頒布《歐盟網(wǎng)絡安全戰(zhàn)略》，要求采取措施確保用于關鍵服務和基礎設施的硬件和軟件值得信賴和安全可靠。12.2012年歐盟網(wǎng)絡和信息安全局（ENISA）發(fā)布了《供應鏈完整性ICT供應鏈風險和挑戰(zhàn)概覽，以及未來的愿景》報告，并于2015年更新。13.2021年7月30日正式公布的《關鍵信息基礎設施安全保護條例》第十九條明確指出：運營者應當優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務；采購網(wǎng)絡產(chǎn)品和服務可能影響國家安全的，應當按照國家網(wǎng)絡安全規(guī)定通過安全審查。14.2020年《網(wǎng)絡安全審查辦法》明確提出，為了確保關鍵信息基礎設施供應鏈安全，維護國家安全，對關鍵信息基礎設施運營者采購的網(wǎng)絡產(chǎn)品和服務，影響或可能影響國家安全的應該進行網(wǎng)絡安全審查。15.2017年《中華人民共和國網(wǎng)絡安全法》第三十五條“關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務，可能影響國家安全的，應當通過國家網(wǎng)信部門會同國務院有關部門組織的國家安全審查”和第三十六條“關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務，應當按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務與責任”，分別從網(wǎng)絡安全審查、網(wǎng)絡產(chǎn)品和服務安全角度對供應鏈安全提出要求。序號標準編號名稱ISO/IEC27036:2014《信息技術安全技術供應商關系的信息安全》系列標準2.ISO/IEC20243《信息技術開放可信技術提供商標準減少惡意和仿冒組件》系列標準3.ISO28000《供應鏈安全管理體系規(guī)范》4.美國NISTSP800-161《聯(lián)邦信息系統(tǒng)和組織的供應鏈風險管理實踐》5.--《安全軟件開發(fā)框架》6.--《關鍵軟件定義》7.--《網(wǎng)絡供應鏈風險管理(C-SCRM)框架》8.--《面向供應商的軟件供應鏈安全實踐指南》9.--《面向開發(fā)者的軟件供應鏈安全實踐指南》10.--《面向客戶的軟件供應鏈安全實踐指南》11.NIST.IR.8397《開發(fā)者軟件驗證最低標準指南》12.GB/T39204-2022《信息安全技術關鍵信息基礎設施安全保護要求》13.GB/T36637-2018《ICT供應鏈安全風險管理指南》14.GB/T32921-2016《信息安全技術信息技術產(chǎn)品供應方行為安全準則》15.GB/T32926-2016《信息安全技術政府部門信息技術外包信息安全管理規(guī)范》16.GB/T31168-2014《信息安全技術云計算服務安全能力要求》17.在研《信息安全技術軟件供應鏈安全要求》18.在研《信息安全技術軟件產(chǎn)品開源代碼安全評價方法》19.在研《信息安全技術關鍵信息基礎設施信息技術產(chǎn)品供應鏈安全要求》20.在研《軟件供應鏈安全能力成熟度參考模型》21.在研《軟件物料清單（SBOM）構建總體框架》22.在研《面向云計算的可信研發(fā)運營安全能力成熟度模型》23.在研《研發(fā)運營安全技術總體框架》24.在研《面向云計算的研發(fā)運營安全工具體系第1部分：總體框架》25.在研《面向云計算的研發(fā)運營安全工具體系第2部分：靜態(tài)應用程序安全測試工具能力要求》26.在研《面向云計算的研發(fā)運營安全工具體系第3部分：交互式應用程序安全測試工具能力要求》27.在研《面向云計算的研發(fā)運營安全工具能力要求第4部分：實時應用程序自我保護工具》20二、軟件供應鏈安全面臨嚴峻挑戰(zhàn)2.1開源代碼風險不斷增加表52022年開源項目統(tǒng)計數(shù)據(jù)語言開源項目數(shù)項目版本數(shù)2022年下載量同比項目增長同比下載量增長平均發(fā)版量Java49.2萬950萬6750億14%36%1921JavaScript206萬2900萬2.1萬億9%32%1439.6萬370萬1790億18%11%9.NET32.1萬470萬960億-5%23%15總計/平均約327萬約4700萬3萬億9%33%14圖22018-2022年下載量年分析的1703個代碼倉庫中，有96%包含開源代碼，22洞在營銷科技領域至少增加了42%，在零售和電子商務領域更是猛圖32018-2023按行業(yè)劃分的開源和高風險漏洞變化情況2.2API風險日益突出23APISecurityQ12023》報告顯示，在2022年12月份就發(fā)生了API。為了掌握API所面臨的主要風險，OWASP組織對的主要風險進行了梳理，并發(fā)布了第一版《OWASPAPI安全TOP10》，這些風險都對軟件應用的安全性造成了嚴重的威脅，詳表6OWASPAPI安全TOP10風險類別詳細描述API1:2019-失效的對象級別授權API傾向于公開處理對象標識符的端點，從而產(chǎn)生廣泛的攻擊表層訪問控制問題。在使用用戶輸入訪問數(shù)據(jù)源的每個函數(shù)中，都應考慮對象級授權檢查。API2:2019-失效的用戶身份驗證身份驗證機制的實現(xiàn)不正確，使得攻擊者能夠破壞身份驗證令牌或利用漏洞臨時或永久地盜用其他用戶的身份，破壞系統(tǒng)識別客戶端/用戶的能力，損害API的整體安全性。API3:2019-過度的數(shù)據(jù)暴露開發(fā)人員傾向于公開所有對象屬性而不考慮其各自的敏感度，依賴客戶端在向用戶顯示數(shù)據(jù)前執(zhí)行數(shù)據(jù)篩選。24API4:2019-資源缺乏和速率限制API通常不會對客戶端/用戶可以請求的資源的大小或數(shù)量施加任何限制，這不僅會影響API服務器的性能，導致拒絕服務（DOS而且還會為諸如暴力破解等身份驗證缺陷提供便利。API5:2019-失效的功能級授權具有不同層次結構、組和角色的復雜訪問控制策略，以及管理功能和常規(guī)功能之間不明確的分離，往往會導致授權漏洞。通過利用這些漏洞，攻擊者可以訪問其他用戶的資源或管理功能。API6:2019-批量分配將客戶端提供的數(shù)據(jù)（例如JSON）綁定到數(shù)據(jù)模型，而無需基于白名單進行適當?shù)膶傩院Y選，通常會導致批量分配。無論是猜測對象屬性、探索其他API端點、閱讀文檔或在請求負載中提供其他對象屬性，攻擊者都可以修改它們不被允許修改的對象屬性。API7:2019-安全配置錯誤安全錯誤配置通常是由于不安全的默認配置、不完整或臨時配置、開放云存儲、配置錯誤的HTTP頭、不必要的HTTP方法、允許跨域資源共享（CORS）和包含敏感信息的詳細錯誤消息造成的。API8:2019-注入當不受信任的數(shù)據(jù)作為命令或查詢的一部分發(fā)送給解釋器時，就會出現(xiàn)注入缺陷，如SQL注入、NOSQL注入、命令注入等。攻擊者的惡意數(shù)據(jù)可誘使解釋器在未經(jīng)恰當授權的情況下執(zhí)行非預期的命令或訪問數(shù)據(jù)。25API9:2019-資產(chǎn)管理不當與傳統(tǒng)Web應用程序相比，API傾向于公開更多的端點，這使得恰當?shù)奈臋n編制和更新變得非常重要。正確的主機和已部署的API版本清單對于緩解棄用的API版本和公開的調試終端節(jié)點等問題也起著重要的作用。API10:2019-日志和監(jiān)視不足日志記錄和監(jiān)控不足，加上與事件響應的集成缺失或無效，使得攻擊者可以進一步攻擊系統(tǒng)。大多數(shù)違規(guī)研究表明，檢測違規(guī)行為的時間超過200天，通常由外部方而不是內(nèi)部程序或監(jiān)控發(fā)現(xiàn)。2.3威脅暴露面持續(xù)增多2022年，Gartner提出持續(xù)威脅暴露面管理（ContinuousThreatExposureManagement,CTEM），預測到2026年，采用262.4軟件安全治理困難l缺乏成熟的軟件安全管理體系，企業(yè)面向軟件供應鏈的軟件27產(chǎn)和新增軟件資產(chǎn)的信息進行有效采集，構建軟件資產(chǎn)的全組成，對開源軟件和開源組件進行識別和風險評估，才能使大部分情況會要求進行軟件升級，但是軟件升級需要考慮兼容性和組件之間的依賴關系，由于不兼容而導致的軟件無法2.5APT攻擊更加復雜APT攻擊一直是我國面臨的最嚴重的網(wǎng)絡安全威脅之一，一些據(jù)中國信息安全測評中心本年度發(fā)布的《全球高級持續(xù)性威脅彌散的特點。當前，漏洞利用成為了APT282.6云安全進入下半場29三、軟件供應鏈安全治理安全運營和風險抵抗能力。3.1軟件供應鏈安全框架軟件聯(lián)盟安全軟件框架（BSAFSS）、SAFECode安全軟件開發(fā)基3.1.1SLSAv1.0框架SLSA，該框架是一套可逐步采用的供應鏈安全指南，由行業(yè)共識制302023年4月，SLSAv1.0發(fā)布，相比SLSAv0.1發(fā)生了很大的是最高水平，SLSA1-3提供較低級別的安全性保證，其中每個級別級別4以及源代碼和通用要求推遲到未來的版本。目前SLSAv1.0表7SLSAv1.0構建軌道安全級別及要求軌道/等級要求概述好處構建L0無無無構建L1出處存在包有出處，顯示它是如何建造的，可用于防止發(fā)通過了解其精確的源版本和構建過程，使生產(chǎn)者和消費者更容易調試、修補、重建或分析軟件；幫助組織創(chuàng)建軟件清單。構建L2托管構建平臺構建在托管平臺上運行，由平臺生成并簽署出處。通過數(shù)字簽名防止構建后的篡改；通過將構建限制為可以審計和加固的特定構建平臺來減少攻擊面。31構建L3強化構建構建在提供強大防篡改保護的構建平臺上運行。防止在構建過程中受到內(nèi)部威脅、泄露的憑據(jù)和其他用戶的篡改。注著構建過程中的完整性，作為一個由行業(yè)共識決定3.1.2SSDF框架安全軟件開發(fā)框架(SSDF)是由NIST開發(fā)的一套指導方針，用l組織準備(Preparetheorganization，Po)：側重于為安全開發(fā)人員進行安全編碼以及實現(xiàn)漏洞管理過程等實踐。l保護軟件(ProtecttheSoftware，PS)：在開發(fā)過程中，保32強調通過確保在軟件開發(fā)生命周期(SDLC)中集成安全性來查和軟件組合分析。3.2軟件供應鏈安全治理理念和技術相結合，打造完備的軟件供應鏈安全治理體系。示軟件供應鏈的組成成分的情況。33透明程度概念簡述不透明軟件整體作為一個軟件成分。微透明直接依賴檢測出的開源組件、第三方組件，組件基本信息完整，直接依賴關系正確。半透明通過組件指紋識別出的開源組件、第三方組件，組件基本信息完整，直接依賴關系正確，包含必要組件擴展信息完整（如：核心組件的開源知識產(chǎn)權信息、關聯(lián)漏洞信息）。透明通過代碼片段識別出的開源組件、第三方組件，組件基本信息完整，直接依賴及間接依賴關系清晰，包含重要的組件擴展信息完整。34透明程度概念簡述概念釋義軟件基本信息軟件名稱標識軟件的實體名稱。軟件作者名稱軟件責任人或團體名稱。軟件供應商名稱原始供應商名稱。軟件版本供應商用于標識軟件修改的版本標識符。軟件列表軟件列表、軟件包括開源許可證版權與開放標準、第三方授權信息等。時間戳記錄軟件基本信息生成的日期和時間。軟件簽名保證軟件信息真實性、完整性。唯一標識用于標識軟件或在軟件成分清單數(shù)據(jù)庫中查找的唯一標識符。軟件間的關系包含關系如源代碼與編譯后二進制的包含關系，發(fā)布容器鏡像與二進制的包含關系等。依賴關系35其他關系其他關聯(lián)關系。軟件擴展信息軟件知識產(chǎn)權信息包括開源許可證版權與開放標準、第三方授權信息等。關聯(lián)漏洞信息漏洞信息，如對應CVE、CNVD、CNNVD等。其他信息其他相關信息。3.2.1理念二：可評估軟件供應鏈過程此企業(yè)可參考典型的軟件開發(fā)框架如SSDF、BSAFSS、SAMM、SAFECode等來規(guī)范軟件開發(fā)工作，確保軟件的開發(fā)安全，并構建36軟件交付運行之前。發(fā)人員及時處理存在漏洞的組件。風險和組件成分漏洞風險。37對受影響的產(chǎn)品進行加固和修復。38估核心數(shù)據(jù)。形成面向軟件供應鏈常態(tài)化的管控能力。39管理可持續(xù)。發(fā)現(xiàn)安全風險并要求整改，防止因供應商被攻擊所帶來的安全問題。3.3軟件供應鏈安全治理體系403.3.1安全管理414243以常見應用漏洞為出發(fā)點，涵蓋OWASPTOP10、CWE以及安全SDK庫提供安全函數(shù)接口，將安全編碼規(guī)范指導內(nèi)容進行全編碼效率，真正將安全編碼規(guī)范落地到研發(fā)鏈條中。過靶場驗證安全編碼規(guī)范和安全SDK庫中漏洞修復的有效性，形成44理想條件下，供應鏈中每一環(huán)節(jié)都要求該環(huán)節(jié)的上游環(huán)節(jié)提供45如下表所示。CycloneDXSPDXSPDXLiteSWID定義一種輕量級SBOM標準，設計用于應用程序安全上下文和供應鏈組件分析。一種標準語言，用于以多種文件格式傳達與軟件組件相關的組件、許可信息。是SPDX的輕量級子集，適用于不需要完整SPDX的情況。它旨在讓那些沒有開源許可知識或經(jīng)驗的人易于使用，并成為“某些行業(yè)中SPDX標準和實際工作流程之間的平衡”。SWID標準定義了一個生命SWID標簽作為軟件產(chǎn)品安裝過程的一部分添加到端點，并在產(chǎn)品卸載過程中刪除。維護者核心團隊由來自OWASP、Sonatype和ServiceNow的人領導。由Linux基金會維護。由Linux基金會維護。由NIST維護。支持的格式XML,JSON，ProtocolRDFa,xlsx,spdx,xml,json,yRDFa,xlsx,spdx,xml,json,yamlxml46BUffersaml供應商，制作商，組件信息，證書信息，創(chuàng)建BOM的工具信息，外部API信息，依賴關系信息（依賴關系圖）。SPDX文檔創(chuàng)息，文件信息（可能包含在包信息里文書信息，SPDX元素之間的關系，注釋信息（例如：審查SPDX文件的信息）。文檔創(chuàng)建信息：SPDX版本、數(shù)據(jù)許可、SPDX標識符、文檔名稱、SPDX文檔命名空間、創(chuàng)建者；組件信息：包名、包下載位置、包主明許可、許可注釋和版權文本。述預安裝階段行文件）；的全球唯一標識符以及標識標簽創(chuàng)建者的基本信息；并描述應用于產(chǎn)品的補??；主要或補丁標簽的附加細節(jié)。組件唯一標識支持軟件坐標PURL（PackageURL）PURL（PackageURL）CPEchash47name，version)PURL（PackageURL）CPEPlatformEnumeration)SWID（ISO/IEC19770-2：2015）Cryptographichashfunctions(SHA-1，SHA-2，SHA-3，BLAKE2b，CryptographichashfunctionsSPDXIDhashfunctionsSPDXIDfunctionsSWID48BLAKE3)流/交換）和SaaSBOM是軟件成分清單的兩個輔助套件，是“傳），SaaSBOM創(chuàng)新性地將“軟件即服務（SaaS）”的供應商也包之間的數(shù)據(jù)定向流?？蛇x地，SaaSBOM還可能夠包括構成每個服49成流水線”，軟件開發(fā)商將SBOM生成與DevOps流程相融合，開發(fā)階段包括初期編程開發(fā)以及后期補丁，需要利用SC置管理管理）、VCS（版本控制系統(tǒng)）、SCA（軟件成分分析）、軟件還應在SBOM中聲明許可證license；部署階段，添加條款、插件以及配置信息，在維護/監(jiān)控階段，將已知安全漏洞信息插入文者相關材料時，也可用于驗證供應商提供的50SCA是針對第三方開源軟件（OSS）以及商業(yè)軟件涉及的各 流跟蹤的方式對目標組件的各個部分之間的通過靜態(tài)SCA可以精準識別應用引用的開源第三方組件，分析組檢測。從SCA分析的目標程序形式上分，對象可以是源代碼也可以是51二進制格式類型詳細純二進制格式C/C++編譯后的二進制文件，Java編譯后的二進制文件.class，.NET編譯后的二進制文件，Go語言編譯后的二進制文件壓縮包Gzip（.gz）、bzip2（.bz2）、ZAP（.zaip,.jar,.apk和其他衍Pack200（.jar）安裝包（.dmg,.pkg）、Windowsinstallers（.exe,.msi,.cab）固定格式IntelHEX、SREC、U-Boot、Androidsparsefilesystem、Cisiofirmware文件系統(tǒng)/電子盤ISO9660/UDF（.iso）、QEMUCopy-On-WriteVDI（.vdi）、WindowsImaging、ext2/3/4、JFFS2、UBIFS、RomFS、FessBSDUFS容器DockerImage理解析通過分析源代碼中的包管理配置文件直接得到對應的軟件組52對于靜態(tài)SCA分析過程中，有些組件在源碼中被引用了但是實動態(tài)SCA主要是針對運行中的應用進行分析，依賴插樁技術原理，由于檢測的是實際加載到Java虛擬機中的組件，能夠避免因引而未軟件安全檢測檢測技術主要有：靜態(tài)應用安全測試(SAST)、動態(tài)應用安全測試(DAST)、交互式應用安全測試(IAST)和模糊測試(FUZZ)，不同的53對比項SASTDASTIASTFUZZ檢測對象源代碼運行中程序的數(shù)據(jù)流運行中程序的源代碼、數(shù)據(jù)流運行中程序檢測階段開發(fā)/測試/上線測試/運營測試/運營開發(fā)/測試誤報率高低極低（幾乎為0）低測試覆蓋度高低中低檢測速度隨代碼量呈指數(shù)增長隨測試用例數(shù)量穩(wěn)定增加實時檢測隨測試用例數(shù)量穩(wěn)定增加漏洞檢出率高中較高中影響漏洞檢出率因素檢測技術,缺陷規(guī)則測試用例覆蓋度則測試用例質使用成本高，需要人工排除誤報低，基本沒有誤報低，基本沒有誤報支持語言區(qū)分語言不區(qū)分語言區(qū)分語言不區(qū)分語言侵入性低較高，臟數(shù)據(jù)低低CI/CD集成支持不支持支持不支持54降低后期成本，原理如下圖所示。55漏洞掃描兩種類型。如下圖所示。Web應用是對運行中的Web應用程序進行漏洞掃描，整個掃如下圖所示。56行時的行為并分析，從而發(fā)現(xiàn)應用存在的漏洞。IAST結合了DAST57前市面上Java版的RASP應用居多，因此，本文重點介紹JavaRASP的相關內(nèi)容。從JDK1.5開始，Java新增了Instrumentation（JavaAgent個class文件之前對其字節(jié)碼進行修改，同時也支持對已加載的58class（類字節(jié)碼）進行重新加載（Retransform）。RASP正是利在Java語言底層重要的API（如：文件），59當前，隨著Devops變得越來越普遍，RASP因其具備識別攻融入軟件開發(fā)等特性，逐步被業(yè)內(nèi)的安全防護實踐方案采用。向代理模式和旁路模式，具體介紹如下表所示。表13WAF的部署模式60反向代理模式是指WAF設備部署網(wǎng)絡旁路模式指WAF設備不作為后臺服務在路由設備上。JSON套件、XML套件為API的消息保護和安全審計提供技術支持。61API的運營安全，如下圖所示。資產(chǎn)管理可以利用WAF、API網(wǎng)關、IAST和RASP等收集到623.3.3持續(xù)監(jiān)控與運營能力軟件資產(chǎn)安全63行梳理和納管實現(xiàn)對軟件資產(chǎn)的日常監(jiān)測和管理具有十分重要的意646566對軟件供應商的人員進行管理能夠有效地降低軟件供應鏈安全事件供應商的開發(fā)人員可能因為安全意識薄弱的問題導致軟方案，這些數(shù)據(jù)的泄露會帶來重大風險。67開源組件漏洞持續(xù)監(jiān)測需要對軟件項目依賴的所有開源組件進68開源組件風險監(jiān)測依賴于開源組件威脅情報以及對開源組件的69康度。洞檢測、認證和權限的檢查等。在覆蓋軟件生命周期的各階段，對API信息進行全面的收集和監(jiān)測，形成API拓撲圖，并對收集到的70有效對API風險實現(xiàn)了閉環(huán)的管理，最大限度降低API安全風險對靠性。展風險監(jiān)測時重點關注，具體的風險信息如下表所示。風險類別詳細描述軟件漏洞利用軟件產(chǎn)品內(nèi)部開發(fā)過程中產(chǎn)生的以及從上游繼承的軟件漏洞無法避免，這些軟件漏洞可能被攻擊者利用，對軟件以及計算機系統(tǒng)造成嚴重的安全風險。軟件后門植入供方預留后門：供方出于軟件維護的目的，在軟件產(chǎn)品中預置后門，如果預置后門被泄露，攻擊者會通過預置后門獲得軟件或操作系統(tǒng)的71訪問權限；攻擊者惡意植入后門：攻擊者入侵軟件開發(fā)環(huán)境，污染軟件供應鏈中的組件，劫持軟件交付升級鏈路，攻擊軟件運行環(huán)境植入惡意后門，獲得軟件或操作系統(tǒng)的訪問權限。惡意篡改惡意代碼植入：在需方不知情的情況下，在軟件產(chǎn)品或供應鏈中的組件中植入具有惡意邏輯的可執(zhí)行文件、代碼模塊或代碼片斷；開發(fā)工具植入：使用被惡意篡改的開發(fā)工具，導致開發(fā)的軟件或組件存在惡意代碼；供應信息篡改：在供方不知情的情況下，篡改軟件供應鏈上傳遞的供應信息，如銷售信息、商品信息、軟件構成信息等。假冒偽劣供方提供未經(jīng)產(chǎn)品認證、檢測的軟件或組件，