2024人工智能(AI)在防御產業(yè)基地(DIB)軟件供應鏈(SSCS)保護中的應用

SOAR1（）人工智能(AI)在防御產業(yè)基地(DIB)軟件供應鏈(SSCS)保護中的應用ByAbdulRahman合同編號:FA8075-21-D-0001發(fā)布人:CSIAC

CSIAC-BCO-2023-499最新報告最新報告本頁面故意留空最新報告最新報告SOARSOAR2024年1月最新報告（SOAR）人工智能(AI)在防御產業(yè)基地(DIB)軟件供應鏈(SSCS)ABDULRAHMAN關于CSIAC最新報告網絡安全與信息系統信息分析中心(CSIAC)最新報告（DoD）IAC（DTIC）CSIACSURVICEEngineeringCompany根據FA807521D0001DoDIAC計劃IACCSIAC（DSIAC）（HDIAC）CSIAC是美國在四個技術重點領域提供全球科學和技術信息的國家信息交換所：網絡安全；知識管理和信息共享；建模和仿真；和軟件數據和分析。因此，CSIAC收集，分析，綜合和傳播每個重點領域的相關技術信息和數據。這些努力促進了網絡安全和信息系統社區(qū)的科學家和工程師之間的合作，同時通過充分利用該社區(qū)各自的知識庫來提高生產率。CSIAC還使用獲得的信息來生成科學和技術產品，包括數據庫，技術評估，培訓材料和各種技術報告。

（SOAR）CSIAC的信息產品之一，提供對CSIAC技術重點領域相關的技術進行全面評估。通過與更DTIC進行了審查，以確保為戰(zhàn)士需求做出增值貢獻。CSIAC的郵寄地址:CSIAC4695MillenniumDriveBelcamp,MD21017-1505（443）3604600報告文檔頁表格批準的OMB編號:0704-01881小時，包括審查指示、搜索現有數據源、收集和維護所需數據以及完成和審查信息收集的時間。向國防部，華盛頓總部（07040188），·12151204，弗吉尼亞州阿靈頓，222024302發(fā)送有關此負擔估算或此信息收集的任何OMB處罰。請不要將您的表格返回到上面的地址。1.報告日期2024年1月2.報告類型最新報告3.涵蓋的日期4.標題和子標題人工智能（AI）在國防工業(yè)基地（DIB）中保護軟件供應鏈（SSC）的應用5a.合同編號FA8075-21-D-00015b.GRANTNUMBER5c.程序元件號6.AUTHOR(S)阿卜杜勒·拉赫曼5d.項目編號5e.任務號5f.工作單位編號7.執(zhí)行組織名稱（S）和地址（ES）網絡安全與信息系統信息分析中心(CSIAC)SURVICEEngineeringCompany4695MillenniumDriveBelcamp,MD21017-15058.執(zhí)行組織報告編號CSIAC-BCO-2023-4999.贊助/監(jiān)控機構名稱（S）和地址（ES）（DTIC）8725JohnJ.Kingman路貝爾沃堡VA2206010.贊助商/監(jiān)控器的縮寫（S）DTIC11.發(fā)起人/監(jiān)控人報告編號(S)12.分銷/可用性聲明發(fā)行聲明A.批準公開發(fā)行：無限發(fā)行。13.補充說明14.摘要（AI）（DIB）（SSC）（NIST）的控制，并提高用戶對部分基于外部存儲庫的模塊和庫構建的軟件的信心。人工智能可以為分析師提供建議的掃描頻率，補充基礎設施的威脅評估，自動化威脅情報處理，并加快網絡安全風險管理。此外,DIB中的SSC的安全性可以受益于AI作為用于傳達妥協概率的推薦引擎的類似使用。ForU.S.國防部網絡安全分析師。NIST/AIDIBSSC。15.主題條款網絡安全、網絡攻擊、軟件供應鏈(SSC)、代碼庫、軟件漏洞、網絡安全框架、軟件材料清單、人工智能、機器學習、自動化、滲透監(jiān)控、國防工業(yè)基礎、承包商軟件、軟件構建安全、第三方供應商安全16.安全分類：U17.LIMITATIONOFABSTRACTUU18.頁數4819a.責任人姓名文森特“泰德”威爾士a.REPORT未分類b.摘要未分類c此頁未分類19b.電話號碼(包括區(qū)號)443-360-4600標準表格298(Rev.8/98)由ANSIStd.Z39.18規(guī)定

在封面上：最新報告(來源:Shutterstock&freepik)最新報告最新報告最新報告THEAUTHORABDULRAHMAN,博士Dr.AbdlRahma是云分析和架構的設計和實施方面的專家，為商業(yè)和政府客戶的網絡運營提供態(tài)勢感知工具。他擁有超過25年的信息技術經驗，包括軟件開發(fā)，網絡工程，系統設計，系統架構，安全性和網絡管理。他發(fā)表了廣泛的物理，數學和信息技術主題。Dr.拉赫曼持有醫(yī)生。數學和物理學哲學學位。最新報告最新報告摘要人工智能(AI)在軟件供應鏈(SSC)中的應用（DIB）（NIST）AI（）威脅評估基礎設施，自動化威脅情報處理，并加快網絡安全風險管理。此外,DIB中的SSC的安全性可以受益于AI作為用于傳達妥協概率的推薦引擎的類似使用。ForU.S.國防部網絡安全分析師表示，人工智能驅動的自動化可以深入了解部署在軍事和政府網絡上的軟件功能如何符合NIST合規(guī)標準。在系統安全計劃中反映最新漏洞集的能力可以大大改進依賴手動內部掃描的現有做法。AI/或操作系統AIDIBSSC。最新報告最新報告ACKNOWLEDGMENTS作者要感謝網絡安全與信息系統信息分析中心和SURVICEEngineeringCompany的工作人員對本報告的指導和審查。執(zhí)行摘要最新報告管理美國內部復雜多樣的供應鏈S.政府嚴重依賴廣泛而多（SSC）準。最新報告確定SSC安全性的優(yōu)先級對于組織減輕風險和防范潛在漏洞和攻擊至關重要。不幸的是，SSC據包和SSC實踐來實現。最復雜的（AI）SSC嵌入式軟件中的方法途徑。AISSC標記可能允許未經授權訪問的行為。

AISSC潛在的漏洞、風險和安全控制差距。這種主動，實時的方法使組織能夠迅速解決潛在的漏洞和漏洞，如果確實發(fā)生滲透，則可以立即收到警報，以促進對安全事件的快速反應，從而最大程度地減少損害。此外，人工智能與安全編碼工作流的集成可以簡化所需合規(guī)性實踐的自動完成和更新，從而提高整體代碼質量、減少缺陷和效率。最新報告最新報告本頁面故意留空人工智能（AI）在國防工業(yè)基地（DIB）中保護軟件供應鏈（SSC）的應用發(fā)行聲明A.批準公開發(fā)行：無限發(fā)行。CONTENTS關于CSIAC IV作者 六摘要 VII確認 VIIISECTION1.4SECTION2.4SECTION.23.3.3SECTION

執(zhí)行摘要 IXINTRODUCTION1-1定義SSC攻擊1-1SSC1-3固定SSC1-41-4數據管理策略2-1開源軟件包2-12-2應用代碼安全2-52-5特征發(fā)展 3-1(DevSecOps)(AIOps)；以及機器學習操作（MLOps） 3-護 3-他SSC架 3-3-單3-3別3-4AI的應用 4-1區(qū)塊鏈與SSC框架集成的AI模型 4-于AI測 4-最新報告3AI性 4-4最新報告內容,continued結論 5-1參考文獻 6-11-1-2-2-2-3-3-4-

Figures企業(yè)對SSC下降的可見性，理解和控制隨著更廣泛的發(fā)展社區(qū)的參與 1-2整個供應鏈的網絡安全風險 1-5SSC/分離組件和鏈接 圖2-1示例攻擊面的數據流圖 2-3成功的網絡安全計劃的六大主要支柱，反映在NISTCSF2.0版(草稿) 2-6為出處構建平臺工作流，作為對已創(chuàng)建工件的證明支持SSC安全 3-4針對SSC威脅和緩解的SLSA方法 3-5與AI（FL）和框架集成的區(qū)塊鏈的名義架構；框架為要訓練的分布式AI（FL）提供工件級對齊在所有位置 最新報告2最新報告

TABLESNIST指導下的組織供應鏈風險管理NISTCSF1.1版的“識別”功能 2-7SECTIONINTRODUCTION1節(jié)在在整個國防機構中無處不在。正如國防創(chuàng)新委員會在2019（DoD）“的1節(jié)[1。同時保護國防部系統免受傳統的基于網絡的攻擊開發(fā)和生產關鍵產品的軟件供應鏈(SSC)的安全性20192023SSC700[2]SSCSSC事件的實時跟蹤已成為利基網絡安全解決方案市場的小節(jié)[3]。定義SSC攻擊SSCSSC編碼和開發(fā)過程。作為一個領先的

RedHatSSC[4]。統編碼方法在21（）（）[4]。盡管這種類型的社區(qū)開發(fā)為軟件生產提供了關鍵的效率，但它也為不良行為者提供了廣泛的SSC開發(fā)承認依賴關系可能會將可利（11）SSC[5。例如,SSC攻擊由至少兩個要素組成:(1)危害SSC內的至少一個供應商的惡意行為者,以及(2)該漏洞然后被用來損害其他供應商或最終產品/客戶。雖然SSC可能部分由于內部人士的行為而被滲透，但像美國這樣的領先國防情報當局S.國家反情報和。Figure1-1.AnEnterprise’svisibility,understanding,andcontrolofitsSSCdecreasewitheachlayerofthebroaderdevelopmentcommunity’sinvolvement(Source:Boyensetal.[6]).（）SSC[5]。1節(jié)2080SSC“·或信任信任攻展示了破壞源代碼的能力，同時幾乎沒有留下任何改動[7]。從那時起，軟件生產的大規(guī)模擴展以及在經濟SSC利用成為惡意行為者的主要媒介。例如，SSC攻擊通常針對流行的（ProcedreJavascript節(jié)點的節(jié)[pm。js1節(jié)過去十年-GitHub平臺上托管的公共存儲庫數量從46,000個增加到

200920222[5]SSC[8]。SSC擊的知名度。2017年，“NotPetyaSSC迄今為感染了烏克蘭政府使用的一系列會計和稅務報告軟件，然后傳播到幾家大型跨國公司。俄羅斯贊助的黑客插入的惡意軟件破壞了一家主要食品制造商的電子郵件系統，并禁用了一家國際航運公司的多個物流系統。這樣做，NotPetya甚至削弱了一家制藥公司的供貨能力。1節(jié)美國的疫苗S.[9]2020“Solars網絡攻擊同樣滲透到了一系列廣泛的網絡系統，主要是在美國境內S.聯邦政府。在注入后12[101節(jié)SSCS和國防工業(yè)基地國防部獲取軟件產品和系統、專業(yè)服務以及運營所需的配套硬件和計算能力以同樣的方式獲得板條箱5.56毫米步槍彈藥-主要從私營公司和其他公共或非營利供應商處購買。通常被稱為國防工業(yè)基地（DIB），這些組織，設施和資源的集合每年為國防部提供數千億美元的產品和服務，代表著國家持久的工業(yè)和經濟實力。國防部收購活動的廣泛規(guī)模和范圍意味著超過100萬工人和約6萬家公司。DIB[11SSC的軟件產品的開發(fā)（5.56毫）TheDIB’shugescopeandwidereachintosuppliersandsubcontractorsmakethedefenseofitsSSCanimportanttask.Twolongstandingvulneratingcomplicatethischallenge:（

540“2022（CHIPS）[12。)DIBDoD操作系統所依賴的電子，平臺和體系結“SSC安全性成為一項艱巨的任務。DIB“和的需求都是在國家安全和國土防御領域全面SSC[13。隨著軟件對國防部行動的中心地位，這兩個漏洞已經使SSCDIB內或附近滲透，以及整個情報界，這是對抗行[145年中，軍事分析家目睹SSC9SSC。[1520235VoltTyphoon關島——美國印太司令部行動的關鍵戰(zhàn)略地點[16]。進一步復雜化SSC安全的艱巨任務“用不同集合的碎17。SECURINGSSC國防部和更廣泛的聯邦國家安全企業(yè)都做出了回應，SSC漏洞的脆弱性，并保護支持政府運營的更廣泛的軟件開發(fā)和生產社區(qū)。例如，2023年7月，美國頒布了新的行政政策S.實施計劃》收緊了技術。供應商和承包商在遵循網絡安全供應鏈時必須滿足的要求（CSCRM）[18。遵守這些最佳實踐“10。兩個月后，國防部用自己的國防部特定的網絡戰(zhàn)略跟進整個政府戰(zhàn)略[19]。該文件承認，DIB免受惡意網絡攻擊的重要性，并建DIB合同激勵措施與特定于DoD的網絡安全要求保持一致。此外，該戰(zhàn)略指出了正在進行的研究和開發(fā)活動的有用性，這些活動可能會增加國防部“DIB”中的[19。國防部首席信息官辦公室也正在努力敲定企業(yè)范圍內的網絡供應鏈風險管理戰(zhàn)略，以SSC[20。DIBSSC（NIST）11節(jié)

NIST2014年發(fā)布了其里程碑式的網絡（CSF）1.0[21。該框架很快（IT），并且自[22]以來已更新和擴展了幾次。CSF的核心是詳細介紹了一組最佳實踐的網絡安全活動，“NIST不是傳統的監(jiān)管機構，但CSF[23。其他NIST“（SSDF）1.1版（NIST[SP]800218）[24和系統和組織的網絡安全供應鏈風險（NIST800161r1）[6]，提供了額外的討論。技術和概念層面的漏洞和SSC安全控制（見圖1-2）。報告概述WhileguidancedocumentsfortheorganizationalpracticeofC-SCRMareveryuseful,theymightalsobestbecharacterizedasbroadandnonspecific[25].Greater,asthevolumeofdataandcodethathabitagivenSSCcontinuestogrow,entitieslikefirmswithSSC（AI）SSC攻擊可以通過構建針對收集的分布式數據集部署AIAI相結合圖1-2.整個供應鏈的網絡安全風險（來源：Boyens等人[6]）。方法，如當前版本的NISTCSF1.1[26](CSF2.0版[27]正在開發(fā)中)可以產生一種真正全面的保護SSC的方法。AI型開發(fā)的兩個核心先決條件。2SSC安全性一AI3SSC框架的必要理解AI4AI1節(jié)，如何改進1節(jié)

AISSC可能導致更快的預測和與安全操作工作流的增強集成。最新報告最新報告本頁面故意留空SECTION數據管理戰(zhàn)略AI的模型的開發(fā)首先基于使用健壯且符合最佳工程（或開發(fā)）功能的推動者，針對將提供的現象SSCSSCSSCSonatype2節(jié)識別出各種惡意包2023年的開源生態(tài)系統與前一年相比增長了兩倍[28]。反過來，這一增長是在2021年利用開源軟件供應鏈漏洞的安全攻擊同比增長650%之后的[29]。開源包裝這種快速的擴張速度確實是非凡的，強調了供應鏈的出現是惡意代碼執(zhí)行增長最快的途徑之一。特別是開源軟件包的廣（）SSC或多個鏈接SSC[30（21）SSC的全面覆蓋沒有更大的遠見，仁慈的行為者在措施中受到限制。

21SSC/下游透明度、鏈接（Okafor[30）他們可以及時降低風險或采取對策。幾乎所有現代軟件都在很大程度上依賴于免費分發(fā)并由世界上最熟練的專家訪問的先前創(chuàng)新。這種寶貴的基礎是免費提供給開發(fā)人員的。因此，通常估計多達90％軟件生產系統中使用的代碼來自開源起源。然而，大量的開源編程語言存儲庫是由開源社區(qū)以自愿的、兼職的、通常是隨意的方式維護的[28]。雖然已經努力防止劫持現有開發(fā)者賬號傳播惡意組件（如引進）戶上傳流氓包裹的攻擊。（），并且許多社區(qū)存儲庫為惡意的代碼時緩慢，繁瑣且效率低下。Soatype強調了一個時間，從而使開發(fā)人員暴露于其中。風險[28]。AI在軟件開發(fā)中的潛力無疑是有希望的，但它確實帶來了一系列挑戰(zhàn)，無論是真實的還是感知的。值得注意2023年，Soatype61%“”37%的IT安全領導者有同樣的感覺。雖然大多數受訪者目前在不同程度上使用人工智能，但這種使用并不總是受到驅動。75%的組織領導層感到接受和部署人工智能技術的壓力，因為領導層通常會強調人工智能的生產力提升能力，而不[28AISSC漏洞監(jiān)控任務可能會最大限度地減少這種懷疑，因為AI從一個模糊的技術概念轉向一系列離散的、定義的和有用的軟件工具。，以支持預測易受高風險供應鏈攻擊的軟件包漏洞。2022年2節(jié)，Zaha等人。[29pm軟件包進行實證調查，2節(jié)

1636(IoC。這些指標包括過期[29。IoCSSCSSCAI模型制定特征工程方法。[29使用安裝腳本指示器識別了102800個與過期-npm000IoC“或指標提供了積極的反饋。由470npm軟件包開發(fā)人員發(fā)現超過50%的響應支持使用36IoC：過期的維護者域，安裝腳本和未維護的軟件包[29]。攻擊表面管理和威脅建模軟件包漏洞是與軟件安全性相關的整體風險的重要貢獻者。消除所有漏洞既不可能也不現實，因為它們可能會導致安全風險SSC“攻擊和。控制攻擊面的任務涉及評估和管理系統入口點，攻擊者可以利用這些入口點破壞系統。這樣做有助于識別漏洞Ineitherthesystem’sdesignorimplementationthatmightbeparticularlysereoustomalignaction[31].Threatmodeling,ontheotherhand,istheprocessofanalysisandunderstandingthecharacteristicsandscopeofpotentialthreatstoasystem—akeyinputwhich（22）[31。這兩種方法在整個在他不。

2018PackageIndexPython“typosquatingdiango，“djago和dajngoPytho“djago?！癝SC之間傳播的持久性，這些欺騙性的庫復制了它們真正對應的代碼和功能，但擁有額外的功能，例如建立引導持久性和在遠程工作站上創(chuàng)建反向外殼的能力。值得注意的是，開源代碼的妥協也會影響私有或企業(yè)軟件，因為專有代碼的開發(fā)人員經常將開源元素納入他們的產品中，有時即使他們的組織的安全策略禁止它。2節(jié)圖2-2.示例攻擊面的數據流圖（來源：Ellison等人2節(jié)SSC的攻擊面可以承認各種各樣的漏洞，SSC“來保護對受害者網絡的特權和持久訪問。通重新進入系統。雖然獲得初始準入的過程通常是不分青紅皂白的，但威脅行為者在選擇后續(xù)行動的目標時往往會行使酌處權。這些后續(xù)行動表現出相當大的可變性然而惡意軟件包插入到所選擇的目標中。根據威脅行為者的意圖和能力，此添加的惡意軟件可能使攻擊者能夠進行各種惡意。SSC響時受到限制。這源于這樣一個事實，即組織很少完全控SSC，缺乏迫使供應鏈中的每個參與者迅速采取緩解措施的權力。認識到減輕攻擊后后果的挑戰(zhàn)，網絡維護者必須積極采用并遵守行業(yè)最佳實踐。22節(jié)

(如威脅建模是減SSC染軟件或代碼片段的新技術以前被認為是安全的。因此，對攻擊面及其相應威脅模型的/或自動化流程進行定期審（）與培訓、測試和部署保持一致。人工智能發(fā)展的生命周期。(例如Procedre），史，否則這些漏洞將用于為威脅建模和其他安全風險評估技術提供信息。因此，有必要進行更頻繁的審查，以適應這種不斷變化的威脅格局。一個這樣的響應可能會增加內/企業(yè)掃描的頻率以檢測異常行為。在這個用例中，可以開發(fā)和訓練AI模型，以專門警告此類異常。AI可以顯著幫助組織領導者收集基本信息SSC基礎設施機制主要側重于防止未經授權的訪問22節(jié)。應用程序代碼安全SSC（）[313335]在具有廣泛使用的復雜軟件使用環(huán)境中用程序構建人員沒有在安全軟件開發(fā)實踐方面接受足夠的培SAFECode（BSIMM）（OWASP）[3436]的軟件（SAMM）“內置IT實踐的大量有價值的參考資料。

故意使用畸形數據來觀察應用程序如何響應它的技術。由于攝取畸形數據而導致的意外應用程序故障（2009[更XML]）NIST網絡安全框架NISTCSF的成立可以追溯到2013年2月12日發(fā)布的第13636[37“改善關鍵基礎設施降低網絡安全風險的綜合框架。在2014年[21]CSF1.020181.1[26。在撰寫本文時，NISTCSF2.0[27]，它打算在不久的將來首次收集和解決關鍵利益相關者和用戶[38NIST“”，將其覆蓋范圍擴展到關鍵基礎設施之外。SSC[38。TheNISTCSFprovideshigh-levelguidance,developedthroughactiveengagementwith,andvaluableinputfrom,stakeholdersacrossgovernment,industry,andacademy.TheCSFdefinescommontermstopromote[38CSF1.1“框架功能（1）（2）（3）（4），（5）[26。CSF2.0版將增加第六個“Gover（23）[27。從屬于功能的是許（Procedre），然CSF1.1中，“ID?！癝C類別代表識別功能下的供應鏈風險管理SSC（21）CSCRM（）[26。2節(jié)23NISTCSF2.0（）（NIST382節(jié)

改變現有組織對內部數據資產管理方式的看法。（[松散定義為可訪問但不會過度結構化的數據邏輯集合]，此外還可以SSC安全性所需的核心要求。）“鉤”。以實現模型管理、開發(fā)和/或模型開發(fā)[39]。CSF身就是SSCDIBSSC。軟件安全領域的快速變化進一步強調了超越外圍防御、威脅建模和SSCAI模型可以將強大的特征工程方法構建到強大的AI模型中SSC（F1）AIDIBSSC中的[39。軟件產品分發(fā)的不同方面推動了對SSC安全準備的要求，但許多基于數據管理和/或網絡安全最佳實踐。關于數據，數據管理知識體系（稱為DMBoK）可用于表2-1.NISTCSF1.1版“識別”功能下的組織供應鏈風險管理指南類別子類別資料性參考文獻供應鏈風險管理（ID.SC）：約束、風險容忍度、和假設是建立和使用與管理相關供應鏈風險。該組織有建立和實施識別、評估和管理供應鏈風險的流程。CISCSC4ID.SC-1:網絡供應鏈COBIT5APO10.01APO10.04APO12.04APO12.05、風險管理流程是APO13.02,BAI01.03,BAI02.03,BAI04.02確定、建立、評估、ISA62443-2-1:200管理，并由ISO/IEC27001:2013A.15.1.1,A.15.1.2,A.15.1.3,組織利益相關者。A.15.2.1,A.15.2.2NISTSP800-53第4版SA-9,SA-12,PM-9ID.SC-2:供應商和第三方信息系統的合作伙伴，組件和服務是確定、優(yōu)先和評估使用網絡供應鏈風險評估流程。COBIT5APO10.01APO10.02APO10.04APO10.05、APO12.01APO12.02APO12.03APO12.04APO12.05、APO12.06、APO13.02、BAI02.03ISA62443-2-1:200,,,,0,2,3,4ISO/IEC27001:2013A.15.2.1,A.15.2.2NISTSP800534版RA2RA3SA12SA14、SA15、PM-9ID.SC-3:與供應商和第三方合作伙伴的合同用于實施旨在實現目標的適當措施COBIT5APO10.01APO10.02APO10.03APO10.04、組織的網絡安全計劃和網絡供應鏈風險管理APO10.05計劃。ISA62443-2-1:200.4,ISO/IEC27001:2013A.15.1.1、A.15.1.2、A.15.1.3NISTSP800-53第4版SA-9,SA-11,SA-12,PM-9ID.SC-4:供應商和第三方合作伙伴定期評估使用審計、測試結果或其他要確認的評估形式他們正在履行他們的合同義務。COBIT5APO10.01,APO10.03,APO10.04,APO10.05,MEA01.01,MEA01.02,MEA01.03,MEA01.04,MEA01.05ISA62443-2-1:200.7ISA62443-3-3:2013SR6.1ISO/IEC27001:2013A.15.2.1,A.15.2.2NISTSP800-53第4版AU-2,AU-6,AU-12,AU-16,PS-7,SA-9,SA-12CISCSC19,COBIT5DSS04.04ID.SC-5:響應和恢復ISA62443-2-1:200.7,進行計劃和測試ISA62443-3-3:2013SR2.8、SR3.3、SR.6.1、與供應商和第三方SR7.3、SR7.4providers.ISO/IEC27001:2013A.17.1.3NISTSP800-53第4版CP-2,CP-4,IR-3,IR-4,IR-6,IR8,IR92節(jié)CISCSCCOBITISAISOIECCISCSC4402節(jié)COBIT5[41]，ISA62443-2-1:2009[42],ISO/IEC27001:2013[43],NISTSP800-53修訂版4[44],ISA62443-3-3:2013[45],CISCSC19[46],CISCSC20[47]。作為CSF版本1.1NIST維護一個持續(xù)更新的實時網站，可以在搜索特定信息時用作指南[48]。最新報告最新報告本頁面故意留空SECTION03

特征發(fā)展3節(jié)14028（2021512），SSCNIST20238月“DevSecOpsCI/CD管（NISTSP8003節(jié)云原生應用程序[39]。安全軟件更新：開發(fā)、安全和運營(DEVSECOPS)；人工智能互聯網技術操作(AIOPS);和機器學習操作(MLOPS)DevSecOps的敏捷軟件開發(fā)生命周(SDLC/(CI/CD)SSC的整體安全性，并帶來威脅。

可能來自惡意行為者的攻擊媒介或在SDLC中幾乎任何一點的盡職調查中的失誤。將SSC安全保證的各種元素無縫集成到CI/CD管道中，并使組織在開發(fā)和部署期間有效解決SSC安全問題，對于保護云原生應用程序免受滲透或SSC危害至關重要[39]。NISTSP800204DSSC的一個重要發(fā)工具管理“39。維護這些更新系統的安全SSC件更新系統的核心功能是識別給定更新的必要文件行。生成簽名本身容易受到已知攻擊（至少）；此常設漏洞需要實施與簽名生成和驗證有關的附加安全措施。MLOps（ML）系統的開發(fā)和操作方面。MLOpsML的整個生命周期，從初始開發(fā)和部署到持續(xù)監(jiān)控和維護。與（[DevOps]IT操作之間的協作以實現自動化并提高軟件交付效）MLOps將這些原則擴展到。ML領域和ML空間承諾的強大分析工具。此擴展承認并解決了ML系統固有的獨特挑戰(zhàn)和先決條件NISTSP800204D中，針對軟件更新系統使用DevSecOpsCI/CDSSC安全性的不斷發(fā)展的將來的實施推薦了其他措施。這個框架包含。[39。PUSHPROTECTION3節(jié)在代碼提交期間，SSC中的一項關鍵安全實踐涉及防止在提交的代碼中包含敏感信息。這種保護是通過旨在識別秘密的掃描過程來實現的，從而產生了稱為“推送保護”的功能?！癝SC安全措施還擴展到持續(xù)交付過程中實施的控制措施。例如,在部署期間使用的一個常見控制是驗證是否已經針對漏洞掃描了容器映像,并且如果是3節(jié)

DevSecOps團隊能夠主動維護安全的容器環(huán)境。它有助于確保只有經過驗證的容器才能獲得條目，并有助于在運行時總體上維護用戶信任。這也應AIAIAIDevSecOps（AIOps）（），（）（）AI模SSC威脅進行基于行為的預測的人來說尤其重要。此外，AIOps鼓勵采用容器化方法，確保映像部署決策。與組織定義的策略對齊。必須在運行時實現這種對齊，以防止缺陷、漏洞和不良代碼被引入模型和/或軟件中。這些策略作為允許或阻止映像部署的標準，有助于實現強大的安全狀態(tài)。其他SSC框架14028（）（1.1Solars）“的新類別，其確切定義尚待確定。該命令還消除了阻礙政府機構之間共享網絡安全威脅信息NIST規(guī)定的準則來提高SSC33節(jié)一般框架“零信降低持續(xù)供應鏈風險的措施。對于企業(yè)而言，最值得注意的方面是致力于為SSC引入新的最佳實踐和標準。在該命令發(fā)布時，很明顯新的合規(guī)標準即將出現，盡管它們將采取的確切形式仍不清楚[49]。發(fā)生的事情是一個相對較新的概念的演變，稱為軟件材料清單（SBOM），或參與漏洞披露計劃的義務，以及證明遵守最佳安全實踐的要求。Intoto（intotoio50）SSC以及在整個供應鏈中執(zhí)行的每個操作的可驗證性，包括代碼編寫、編譯、測試和部署。該框架通過披露步驟順序和所涉itoto每個步驟的預期執(zhí)行，對所涉及的參與者進行身份驗證，并（）更新框架(TUF)使開發(fā)人員能夠保護更新系統免受存儲庫的損害和專注于簽名密鑰的攻擊。TUF提供了一種強大的方法提供有關軟件的信任信息，包括

有關工件的元信息。其主要目標是驗證存儲庫中存儲的數據源。此外，TUF驗證工件的新鮮度并保持存儲庫的一致性SSCTUF在以防止惡意行為，其中攻擊者操縱軟件工件的方式，使組合結果成為惡意[14]。開放軟件供應鏈攻擊參考(OSC&R)提供了對攻擊目標及其當前階段的客觀見解。這perspective提供了一個全面的敘述，簡化了整個組織中有關安全性的溝通；提供了全面的可見性現有保護措施的有效性和控制，并優(yōu)先考慮響應。SBOM和管道材料清單(PBOM)（BOM）SSCBOM的每個組件，以及原始制造商，如果它們來自第三方來源。BOMSBOM這種透明度有助于組織主動管理其供應鏈SBOMBOM來確保高質量的SBOM（）[51SBOM相反，PBOM通過告知用戶在同一管道中，使用類似機器或在同一生產設施內生產的其他產品是否包含潛在的漏洞或風險，從而超出了該庫存。PBOM管道。這種徹底的評估增強了避免使用有害軟件的能力

PBOM擅長幫助用戶31所示。聲明SSC的安全性的輸入/或分發(fā)中的可能異常。軟件工件的供應鏈級別(SLSA)SLSA[52SLSA“表示軟件工件未被篡改或更改的信心inanauthorizedmanner,ensuringitremainsinitsoriginalandintendedstate.Ontheotherhand,OSC&Rframeworkoffersasystematic3節(jié)圖3-1.為出處構建平臺工作流，作為支持SSC安全性的已創(chuàng)建工件的證明（來源：LinuxFoundation[52]）。和可操作的方法來理解攻擊者的行為和技術在破壞SSC[50]。SupplychainthreatstakeondifferentcharacteristicsthatareincorporatedintomitigationswithSLSAVersion1.0[52].Thefourthreatsare:(1)sources,dependencies,構建(4)/驗證。來源完整性威脅涉及對手篡改軟件產品源代碼的可能性[52。它們還可以包括內部威脅，授權個人引入未經授權的更改。依賴威脅SLSA有助于緩解這些威脅

SLSA（）時。構建威脅與可能在不更改其源代碼的情況下將惡意行為引入軟件工件的對手有關。它們還包括從非預期來源或依賴關系構建工件的情況。SLSA構建跟蹤可以通過允許消費者驗證接收到的工件是否按預期構建來幫助減輕這些威（32）絕訪問源代碼或構建軟件包的能力，從而有效地破壞了軟[52。SLSA框架概述了分發(fā)來源信息的規(guī)范，并進一步定義了構建之間的連接文物及其相關來源(已知3節(jié)圖3-2.SSC威脅和緩解的SLSA方法（來源：Linux基金會[52]）。作為構建證明）[38]。它的主要重點是分發(fā)構建工件的生態(tài)系統，盡管它還將注意力擴展到分布容器映像或僅提供源工件的生SLSASLSA要求SLSA證明的形式分發(fā)和驗證出處元數據?！敖M規(guī)則和約定。（/PythonPackagingAuthority）（Debian/AdvancedPackageTool）（OpenContainerInitiativeOCI]）SLSA“3節(jié)3節(jié)此外，SLSA為工件分銷商提供了有關如何將

SLSA和建立證明之間的關系的方法工件，而不是為證明本身規(guī)定特定的格式。SLSA得注意的方面是，它鼓勵將證明綁定到單個工件，而不是“可能包含多個工件，這些工件又來自多個不同平臺、架構或環(huán)境上的構建。這些建筑可以。不一定同時發(fā)生，甚至可以跨越多天?！啊蹦苁且豁椃浅＞哂刑魬?zhàn)性的任務。在添加對新平臺的支持，建議軟件包生態(tài)系統在每個版本中支持多個單獨的證明，從而允許每個構建的相關來源根據需要與版本相關聯，具體取決于其與相關工件的關系。SECTION04

AI的應用4節(jié)SSCAI的模型和安全構（）MSC4節(jié)SSCAI來增強對代碼可靠性的保證和確認。帶有區(qū)塊鏈的AI與SSC框架集成值得特別討論的一條發(fā)展路線是使用區(qū)塊鏈技術和方法來增SSC字分類賬，網絡參與者可以訪問，無論是公共的還是私人的。它建立了一個分散的信任系統，而不需要可信的第三方。在區(qū)塊鏈網絡中，許多合作伙伴或節(jié)點共存，每個節(jié)點都擁有維護數據的副本。區(qū)塊鏈內的數據被構造成塊,其中每個塊包括記錄的集合,通常被稱為交易。這些交易被組織成Merkle樹,其中交易記錄用作葉子,并且每個子節(jié)點散列用作中間節(jié)點。

智能合約充當位于區(qū)塊鏈客戶端和區(qū)塊鏈存儲之間的可信中（）智能合約通過執(zhí)行查詢以通過可編程接口存儲或檢索數據來簡化與底層區(qū)塊鏈的交互[53-55]?；谘芯縖50，52-55]，集成的SSC區(qū)塊鏈平臺（例如，Let'sTrace）可以通過利用基于區(qū)塊鏈的智能合約來管理軟件補丁發(fā)布，并確保這些補丁的完整性。軟件產品的補丁完整性驗證是使用SSC框架（例如，TUF）進行的，并且此驗證SSC(intoto全面的摘要上傳到平臺。此摘要包括補丁程序更新、受影響的軟件模塊以及補丁程序更新后（）用程序intoto(FLAIML模型。這些模型可以

（41）如果檢測到與軟件或修補程序更新相關的任何可疑事件4節(jié)圖4-1.與AI（FL）和框架集成的區(qū)塊鏈的概念架構；框架為分布式AI（FL）提供了在所有位置進行培訓的神器級別對齊（來源：Bandara等人[55]）。4節(jié)PBOMSBOM/測試這些模型4節(jié)“態(tài)執(zhí)行變化檢測的能力。ThisprovidestheopportunitytoemployavarietyofcontinuousmonitoringtoolscouplewithAImodelstodetectchanges,whilealsostoragechangestoreference,poiners,andvaluesrelevantforSSCartifacts.TheseartifactscouldNISTSP800204D3951]PBOMSBOM工件注釋驅動。鑒于對應用軟件的需求不斷升級，以及業(yè)界對快速代碼開發(fā)的競爭，保持速度和無錯誤軟件的生產仍然是一個持久的挑戰(zhàn)，特別是在現在常見的后大流行、在家工作的背景下，軟件開發(fā)人員的持續(xù)監(jiān)督并不總是有保證。這種情況增加了引入軟件bg的可能性，傳統的測試方法是。可能很難提供最佳性能。AI和/或區(qū)塊鏈技術自動檢測并通過將深度學習的能力與智能合約驅動的區(qū)塊鏈的力量相結合來防止易受攻擊的代碼的注入。這種方法消除了對漏洞檢測的手動編寫規(guī)則的依賴。非漏洞評分的范圍足夠廣泛，adiscretescoreeffectivelycommunicatetheclassificationofthesourcecode.Additionally,integrationofanInterPlanetaryFileSystemcanensureefficientstoragewithintheblockchain[56].

基于AI的軟件易損性分析與檢測源自軟件的SSC漏洞通常來自設計缺陷或實現的最普遍方法是靜態(tài)分析。該領域的許多現有技術都依賴于源代碼級別的規(guī)則。但是，準確地定義和設計這些規(guī)則和特征-以及不同的數據預處理方法對模型性能的實質性影響-為工程師和研究人員提出了巨大的挑戰(zhàn)，他們的目標是選擇適當的，少得多的最佳組合來解決給定的問題。生最有希望的結果集中在兩個最常見的神經網絡上（雙向長短期記憶[Bi-LSTM]和隨機向量函數鏈接[RVFL]）以及軟件漏洞檢測背景下的兩種最經典的數據預處理方法（）RVFLBiLSTMword2vecdoc2vec進行向量表示可提高訓練速度和泛化能力多級符號化證明是有益的這些課程可以作為研究人員和工程師在導航復雜的神經網絡選擇和數據預處理軟件漏洞檢測[57]的實用指南。軟件應用程序的日益復雜性和最小化漏洞的必要性已經刺激了創(chuàng)建(并且限制了采用[57(ASTNN來識別并根據軟件漏洞進行分類tocommonweaknessenumeration(CWE)types.Thestudyproceduresfollowtwokeyassertions:ASTNNML（2）MLASTNNNISTJulietTestSuite29CWE44,000多個測試用CWE88[58]。4節(jié)4節(jié)2022AI聊天機AIAI直接應用于編碼實踐。sohastransformedtheapproachtocodingthatmanytake,bringingaboutincreasedefficiencyinstaticanalysis,reliability,anddefectreduction.Thefollowingexampleshighlightingcurrentprojects

AIGitHb是一個領先的代碼托管平臺，已經發(fā)布（并使用）CodeQL，這是一種人工智能驅動的靜態(tài)分析工具，用于發(fā)現代碼庫中的漏洞。CodeQL采用復雜的AI算法來自動識別代碼中的安全漏洞。除了檢測，它還建議修復和補丁，主動解決托管在GitHb上的數百萬開源項目的安全問題。CodeQL通過在開發(fā)過程的早期識別和解決漏洞，為軟件生態(tài)系統的整體安全性做出了重大貢獻。CodeQL“[59。Faceboo(元平臺，Ic.）開發(fā)了基于AI的代碼分析工具Ifer，以增強軟件可靠性并防止問題到達生產代碼庫。Ifer被廣SSC（AmazoWebServices，Uber，MicrosoftSoatype），Ifer有助于維護高質量和穩(wěn)定的應用程序，減少了以后的錯誤修復。除了從外部營銷Infer服務外，Facebook在其主要用戶應用程序的每次代碼修改中不斷運行它，Facebook（Android/iOS）FacebookMessengerInstagram[60。DeepCodeAIGoogle（AlphabetInc）AIAI4節(jié)編碼風格和最佳實踐，以幫助開發(fā)人員編寫更干凈、更高效的代碼。這不僅可以減少錯誤的可能性，而且可以通過自動化代碼增強來加速整體軟件包開發(fā)。DeepCodeAI建立在多個AI模型上，還專門針對開源代碼安全數據進行了培訓。DeepCode對于優(yōu)化開發(fā)工作流程和減少編碼錯誤特別有價值，最終節(jié)省時間和資源[61]。IntelliCodeMicrosoftVisualStudio集成開AIIntelliCode和更多;然后，它生成對GitHub開源代碼貢獻評估的建議。例如，IntelliCode檢測程序員的草稿代碼中的重復，包括使用可變（或接近匹配）[62。最新報告最新報告本頁面故意留空人工智能（AI）在國防工業(yè)基地（DIB）中保護軟件供應鏈（SSC）的應用發(fā)行聲明A.批準公開發(fā)行：無限發(fā)行。SECTION結論5節(jié)SSC5節(jié)AI最有用的功能是它能夠過濾大量數據并檢測低信噪比的高級持續(xù)威脅風險。更好的檢測將實現更快的預測速度，并最終實現快速反應。支持AI的SSC領域的未來工作可能會研究通過增加的計算，優(yōu)化的AIOps，集成的端到端工作流程來加速基于行為的檢測的能力。和功能工程的動態(tài)更新。隨著自動化分布式培訓的潛在增加AI支持近乎實時的警報。有效管理美國內部復雜多樣的供應鏈S.政府需要嚴重依賴廣泛的供應商網絡和提供軟件組件的供應商。這種依賴性對確保SSC內這些組件的安全性提出了挑戰(zhàn)。為了全面應對這些安全挑戰(zhàn)，必須結合技術解決方案，強大的安全實踐，利益相關者之間的協作以及遵守行業(yè)標準。

SSC中確定安全性的優(yōu)先級對于組織減輕風險并防止?jié)撛赟SC件組件的完整性相關的額外風險。SSC這涉及建立安全基線和采用穩(wěn)健的行為連續(xù)監(jiān)控實踐。行為方法利用人工智能模型來預測、推斷、預測、關聯和識別SSC嵌入式軟件中可能的弱點、潛在的攻擊媒介和方法途徑。人工智能驅動的系統可以監(jiān)控SSC實時檢測可疑活動和未經授權的訪問。AISSC在的漏洞、風險和安全性控制差距。這種主動方法使組織能夠迅速解決潛在的漏AI與安全編碼工作流集成5節(jié)簡化所需合規(guī)性實踐的自動完成和更新，提高整體代碼質量，減少缺陷并提高效率。參考文獻“（SWAP）https//media.defensegov/2019/May/01/2002126693/1/0/SWAP%20MAIN20REPORT.PDF201953日。Hughes“NISTDevSecOps中的軟件供應鏈安全提供可靠的指CSOOnlinehttps//wwwcsoonlinecom/article/655648/nist-provides-solid-guidance-on-softwaresupplychainsecops.html20231019日。ComparitechLimited“（）Compairtechhttps//wwwcomparitechcom/softwaresupplychainattacks/2023929日。RedHatIncRedHathttps///en/topics/security/whatissoftware-supply-chain-security,14December2022.“華盛頓特區(qū)國家反情報和安//wwwdnigov/files/NCSC/documents/supplychain/SoftwareSupplyChainAttacks.pdf2023年421日。BoyensJ.A.SmithNBartolK.WinklerA.Holbrook和MFallon“NISTSP800161r1MDhttps//nvlpubs.nistgovThompson,K."ReflectionsonTrustingTrust."CommunicationsoftheACM,vol.27,no.8,/doi/pdf/10.1145/358198.358210,August1984.GitHubInchttps///cncf/tag-security/tree/main/supply-chainsecurity/compromescatalogofsupplychain20236月。CrosignaniMMMacchiavelliAFSilva“無國界海盜937https//www.newyorkfedorg/medialibrary/media/research/staff_reports/sr97pdf2021年Solars和微軟的回應交易所事件?！?。GAO-22-104746，報告給

https//wwwgao.gov/products/gao22104746113日2022.NicastroLA.”R47751https//s3.documentcloudorg/documents/24039377/r44751.pdf20231012日。117“2022（CHIPS）PubLNo117167136Stat。1366https//wwwgovinogov/content/pkg/PLAW117publ167/pdf/PLAW117publ167pdf202289日。埃伯特，M.“”S.陸軍紅石測試中心，在國家網絡峰會之前的演示文稿，阿拉巴馬州亨茨維爾，https///files/v1/media/Natioal20網絡20安全20S/23cs/presetatio_files/攻擊20%20網絡20Sppl/ozpdhpmsmrgc6t5o9q。pdf/Attacig_the_Cyber_Spply_Chai_Dr_Jacob_Cox_Jr_NCS_2023_C-SCRM_Fial，2023年9月20日。L五角大樓技術計劃中的軟件使硬件黯然失色的五個https//wwwforbescom/sites/lorenthompson/2023/08/14/fivereasonssoftwareishardwareinpentagontechnologyplans/sh2023年8月14日?！癈SIShttps//wwwcsisorg/programs/strategictechnologiesprogram/significantcyberincidents202310月。A.ttps///story/chinaredflypowercyberattackasia/，2023年9月12日。PavithranA.”C4ISRnethttps//wwwc4isrnetcom/opinion/2023/10/17/thepentagonisrunningoutoftogetzeroright/20231017日?！癶ttps//wwwwhitehousegov/wpcontent/uploads/2023/07/NationalCybersecurityStrategyImplementationPlangov_pdf2023713日?！?023VA，/2023/Sep/12/2003299076/參考文獻,continued1/1/1/2023_DOD___摘要PDF20239月?！癎AO23105612https///assets/gao23105612pdf2023518日。“1.0MDhttps///system/files/documents/cyberframework/021214pdf，2014年2月12日。Otto,G."NISTWantsMoreFeedbackonCybersecurityFramework."FedScoop,/nist-looking-for-additional-feedback-on-cybersecurity-framework/,10December2015.“加強聯邦網絡和關鍵基礎設施的網絡安全1380082FR22391https//wwwfederalregistergov/documents/2017/05/16/201710004/2017年5月11日。SouppyaMK.ScarfoneDDodson“安全軟件開發(fā)框架（SSDF）1.1NISTSP800MDhttps///nistpubs/SpecialPublications/NIST.SP.800-218,2022BoyensJ.CPaulsenNBartolK.WinklerJ.Gimbi“NISTIR8276，MDhttps//nvlpubsnist.gov“1.1MDhttps///nistpubs/CSWP/NIST.CSWP.04162018pdf2018416日。NationalInstituteforStandardsandTechnology."TheNISTCybersecurityFramework2.0:InitialPublicDraft."NISTCSWP29,Gaithersburg,MD,/nistpubs/CSWP/NIST.CSWP.29.ipd.pdf,82023.

SonatypeInc9Sonatypehttps//wwwsonatypecom/state軟件供應鏈/介紹，10月3日2023.Zahan，N.，T.Zimmermann，P.Godefroid，B.Murphy，CMaddilaLWilliams“npm供應鏈中的薄弱環(huán)節(jié)是什44軟件工程實踐，第331-340頁，2022年5月。Okafor,C.,T.R.Schorlemmer,S.Torres-Arias,andJ.CDavis“Sok2022ACM1524202211月。R.J.J.B.GoodenoughCB.WeinstockC.Woody。“評估和減輕軟件供應鏈安全風險”。CMU/SEI-2010TN016201051日?！癶ttps//wwwcisagov/sites/default/files/publications/farding_against_software_supply_chain_attacks_508_1pdf20214月。SimpsonS.（）“///publication/SAFECode_Dev_Practices1008pdf2008108日。McGraw,G."BuildingSecurityinMaturityModel."https://owasp.org/www-pdfarchive/Bsimm09.pdf,October2009.（SwA）“CMMIDEVV1.2。2008623日?！癶ttps///index.php/OWASP_SAMM_Project,2023年?！?。國家檔案1363678FR11739https///documents/2013/02/19/201303915/改善-關鍵-基礎設施-網絡安全，2013年2月12日。參考文獻,continued“NISTNISThttps///news-events/news/2023/08/nist-drafts-major-update-it-廣泛使用的網絡安全框架，2023年8月8日。Chandramouli,R.,F.Kautz,andS.T.Arias.“StrategiesfortheIntegrationofSoftwareSupplyChainSecurityinDe