從軟件安全開(kāi)發(fā)生命周期分析軟件供應(yīng)鏈安全實(shí)踐

從軟件安全開(kāi)發(fā)生命周期分析軟件供應(yīng)鏈安全實(shí)踐

一、軟件供應(yīng)鏈安全治理

目前，業(yè)界已充分認(rèn)識(shí)到造成網(wǎng)絡(luò)安全事件出現(xiàn)的主要原因之一,是由于

軟件開(kāi)發(fā)者在開(kāi)發(fā)過(guò)程中對(duì)開(kāi)發(fā)工具、開(kāi)發(fā)團(tuán)隊(duì)、開(kāi)發(fā)生命周期和軟件產(chǎn)品自

身管理不當(dāng)，致使軟件存在著安全缺陷，破壞或影響最終用戶的信息安全。

通過(guò)推進(jìn)針對(duì)軟件生命周期進(jìn)行全流程安全管控的落地實(shí)踐，有助于從軟

件生命周期的源頭保障軟件供應(yīng)鏈安全。通過(guò)建立軟件開(kāi)發(fā)過(guò)程中保證軟件供

應(yīng)鏈安全的體系化方法，為軟件開(kāi)發(fā)過(guò)程中盡可能避免和消除軟件的安全缺

陷、保證軟件供應(yīng)鏈安全奠定重要基礎(chǔ)。

從軟件安全開(kāi)發(fā)生命周期角度分析軟件供應(yīng)鏈安全的應(yīng)用實(shí)踐方法，主要有以

下幾個(gè)階段。

1.體系構(gòu)建階段

（1）SDL軟件安全開(kāi)發(fā)生命周期

微軟在21世紀(jì)初期的軟件產(chǎn)品開(kāi)發(fā)實(shí)踐中，意識(shí)到無(wú)法通過(guò)技術(shù)層面徹

底解決軟件面臨的安全風(fēng)險(xiǎn)。因此，微軟嘗試從流程和管理的角度解決這個(gè)問(wèn)

題，并探索在各個(gè)軟件開(kāi)發(fā)環(huán)節(jié)中加入安全過(guò)程、把控安全風(fēng)險(xiǎn)，確保每個(gè)環(huán)

節(jié)交付到下一環(huán)節(jié)的交付物都安全可控。于是，針對(duì)傳統(tǒng)的瀑布式模型微軟提

出了〃SDL軟件安全開(kāi)發(fā)生命周期〃這一概念。

軟件安全開(kāi)發(fā)生命周期（SDL）,是一個(gè)在幫助開(kāi)發(fā)人員構(gòu)建更安全的軟

件和解決安全合規(guī)要求的同時(shí)降低開(kāi)發(fā)成本的軟件開(kāi)發(fā)過(guò)程。SDL將軟件開(kāi)發(fā)

生命周期劃分為7個(gè)階段（如圖所示），并提出了17項(xiàng)重要的安全活動(dòng)，旨

在將安全集成在軟件開(kāi)發(fā)的每一個(gè)階段，以減少軟件中漏洞的數(shù)量并將安全缺

陷降低到最4卷度。SDL更側(cè)重的是軟件開(kāi)發(fā)的安全保障過(guò)程，旨在開(kāi)發(fā)出安

全的軟件產(chǎn)品。

圖1SDL軟件安全開(kāi)發(fā)生命周期

在SDL的7個(gè)階段中（如圖1所示），SDL要求前6個(gè)階段的16

項(xiàng)安全活動(dòng)，為開(kāi)發(fā)團(tuán)隊(duì)必須完成的安全活動(dòng)。同時(shí)，SDL認(rèn)為開(kāi)發(fā)團(tuán)隊(duì)?wèi)?yīng)該

保持靈活性，以便選擇更多合適的安全活動(dòng)，如人工代碼分析、滲透測(cè)試、相

似應(yīng)用程序的漏洞分析，以確保對(duì)某些軟件組件進(jìn)行更高級(jí)別的安全分析。

SDL重視各種工具的使用,重心在從需求階段到測(cè)試階段的工具集,如威脅建

模、靜態(tài)源代碼分析等工具。

SDL的7個(gè)階段主要的含義如下：

培訓(xùn)：針對(duì)開(kāi)發(fā)團(tuán)隊(duì)遂行安全意識(shí)與能力的培訓(xùn)I,以確保SDL能有效實(shí)施并

落地,同時(shí)針對(duì)新的安全問(wèn)題與形勢(shì)持續(xù)提升團(tuán)隊(duì)的安全能力；

需求：通過(guò)安全需求分析，定義軟件產(chǎn)品安全實(shí)現(xiàn)過(guò)程中所需要的安全標(biāo)準(zhǔn)和

相關(guān)要求；

設(shè)計(jì)：通過(guò)分析攻擊面，設(shè)計(jì)相對(duì)應(yīng)的功能和策略，降低和減少不必要的安全

風(fēng)險(xiǎn)。同時(shí)通過(guò)威脅建模，分析軟件的安全威脅，提出緩解措施；

實(shí)施：按設(shè)計(jì)要求，實(shí)現(xiàn)對(duì)應(yīng)功能和策略，以及緩解措施涉及的安全功能和策

略。同時(shí)通過(guò)安全編碼和禁用不安全的API,減少實(shí)施時(shí)導(dǎo)致的安全問(wèn)題，

盡量避免引入編碼級(jí)的安全漏洞，并通過(guò)代碼審計(jì)等措施來(lái)確保安全編碼規(guī)范

的實(shí)行；

驗(yàn)證：通過(guò)安全測(cè)試檢測(cè)軟件的安全漏洞，并全面核查攻擊面，各個(gè)關(guān)鍵因素

上的威脅緩解措施是否得以驗(yàn)證；

發(fā)布：建立相應(yīng)的響應(yīng)計(jì)劃，進(jìn)行最終安全檢查，確認(rèn)所有安全活動(dòng)均完成后

將最終版本發(fā)送給客戶；

響應(yīng)：當(dāng)出現(xiàn)安全事件與漏洞報(bào)告時(shí)，及時(shí)實(shí)施應(yīng)急響應(yīng)和漏洞修復(fù)。在此過(guò)

程中新發(fā)現(xiàn)的問(wèn)題和安全問(wèn)題模式，可用于SDL的持續(xù)改進(jìn)過(guò)程中。

(2)DevSecOps

DevSecOps是一種全新的安全理念和模式,由DevOps的概念延伸和

演變而來(lái)。其核心理念是安全是整個(gè)IT團(tuán)隊(duì)每個(gè)人的責(zé)任，需要貫穿從開(kāi)發(fā)

到運(yùn)營(yíng)整個(gè)業(yè)務(wù)生命周期每一個(gè)環(huán)節(jié)才能提供有效保障。

DevSecOps覆蓋編碼階段、測(cè)試階段、預(yù)發(fā)布階段、發(fā)布階段、線上運(yùn)

營(yíng)階段，強(qiáng)調(diào)自動(dòng)化與平臺(tái)化，由CI/CD平臺(tái)推動(dòng)整個(gè)開(kāi)發(fā)和運(yùn)營(yíng)流程自動(dòng)

化。DevSecOps依賴于DevOps流程工具鏈(如圖2所示)，將威脅建模

工具、安全編碼工具、安全測(cè)試工具、容器安全檢測(cè)工具、基線加固工具、漏

洞管理工具等自動(dòng)化工具無(wú)縫集成到DevOps流程中，進(jìn)而實(shí)現(xiàn)開(kāi)發(fā)?安全

?鮑密安全檢博?安全：aw.安全方案*忠燦?Mnoea?「一，?上.…：：

?代碼安全架構(gòu)審嗇?安全茶碼喻?安臺(tái)接術(shù)XR.m?Wi砒湖體系相??RASP

?iOE?c±?mOi??履粉理橫咯持建優(yōu)化(HIDS.RASP.?HIDS

等)

?安全花農(nóng)及方案沒(méi)計(jì)…，.「。”二一，WAF.UEBA?（0防斂*系

計(jì)切iSJSAdK

Create

SecuritySecuri7

PreprodPredict

酶布發(fā)布儂

-女含安金：31?在踞女全愴戈?安全啕?口》13忸心?RASP

?欣井成分分析?運(yùn)行球境幅潸?安全班哂?HJDS

?m?K.Fun-mggtMBiit?在名校驗(yàn)?Mniawanfi.帆%,麗*系

,,V.'..Til?Chaos-Monkey-?*U?!R>g?八？軍心

?白盒安全測(cè)試StyleTesting

圖2DevSecOps工具鏈

很多企業(yè)在向DevSecOps轉(zhuǎn)型時(shí)，會(huì)發(fā)現(xiàn)很多傳統(tǒng)的安全工具在集成性

和實(shí)用性上都難以滿足DevSecOps的需求，因此，在DevSecOps的不同

階段需要采用不同的DevSecOps安全工具（如圖3所示），這些安全工具

主要的共同特點(diǎn)是高度自動(dòng)化以及可集成性。

集成階段及自動(dòng)化程度

DevSecOps工具颼開(kāi)發(fā)構(gòu)建運(yùn)營(yíng)

SCA-OSSA??n/a

（口科嗡分分析,電仆分析）<€

SCA-OSG???

4炊科成分分析4A即幽號(hào)）n/an/a

SAST

（腌初陳金副電n/an/an/a

DAST/Automated-PTn/an/a

（硼運(yùn)用安生豫武/白劭化汕^成）n/aG

IASTn/a???n/a

（交q比&州mr?

TM

€n/an/an/an/a

RASP

n/an/an/an/a6

圖3DevSecOps安全工具在不同階段的自動(dòng)化程度

在軟件供應(yīng)鏈中每個(gè)階段都在面臨不同的安全風(fēng)險(xiǎn)，為了更好的對(duì)軟件供

應(yīng)鏈進(jìn)行風(fēng)險(xiǎn)治理，在DevSecOps模式下，安全開(kāi)發(fā)工具鏈需要盡量覆蓋

軟件生命周期中的所有階段（如圖4所示）。

?軟件姓>代班發(fā)>蟀蝌1>軟件女>版本發(fā)布>炊件部著>ffifl>系統(tǒng)班!

TM

SCA-OSSA

SCA-OSG

做代病分》即

IAST

DAST/Automated-PT

RASP

RM

（JUM）

圖4DevSecOps模式下軟件生命周期

除了以上所提到的工具之外，在DevSecOps的應(yīng)用實(shí)踐過(guò)程中，還有一

些更為前瞻性的安全工具，具體可參考DevSecOps敏捷安全技術(shù)金字塔（如

圖5所示）。該金字塔在?2020DevSecOps行業(yè)洞察報(bào)告》中首次被提

出，目前已發(fā)展到2.0版本。其描述了一組層次結(jié)構(gòu)，金字塔底部是基礎(chǔ)性

技術(shù)，越上層的技術(shù)對(duì)DevSecOps實(shí)踐成熟度的要求越高。

▲

卓越層

CARTA

ASRA實(shí)

踐

深

化

RASP

Container應(yīng)用實(shí)踐層

OSS/SCAIASTBAS

Security

IDS/IPSIAMWAFSAST/DAST—傳統(tǒng)建設(shè)層

圖5DevSecOps敏捷安全技術(shù)金字塔V2.0版

DevSecOps敏捷安全技術(shù)金字塔的不斷升級(jí),是為了給業(yè)界更好的預(yù)測(cè)

和參考，關(guān)于DevSecOps敏捷安全技術(shù)未來(lái)演進(jìn)方向的預(yù)測(cè)是開(kāi)放且持續(xù)

性的，隨著DevSecOps實(shí)踐的不斷發(fā)展,其中的安全工具會(huì)進(jìn)行調(diào)整和更

新。

2、設(shè)計(jì)階段

(1)軟件供應(yīng)商風(fēng)險(xiǎn)管理流程

軟件供應(yīng)商風(fēng)險(xiǎn)是指與第三方供應(yīng)商相關(guān)的任何可能影響企業(yè)利益或資產(chǎn)

的固有風(fēng)險(xiǎn)。在選擇第三方軟件供應(yīng)商時(shí)，為了避免因引入第三方供應(yīng)商而帶

來(lái)眾多潛在的安全風(fēng)險(xiǎn)，需要穩(wěn)健的流程來(lái)識(shí)別和管理日益增加的軟件供應(yīng)商

風(fēng)險(xiǎn)。因此，企業(yè)亟需構(gòu)建有效且穩(wěn)健的軟件供應(yīng)商風(fēng)險(xiǎn)管理流程。

構(gòu)建完整的軟件供應(yīng)商風(fēng)險(xiǎn)管理流程可以提高軟件供應(yīng)鏈的透明度，同時(shí)

幫助企業(yè)實(shí)現(xiàn)降低采購(gòu)成本、識(shí)別和減輕供應(yīng)商相關(guān)風(fēng)險(xiǎn)以及對(duì)軟件供應(yīng)商風(fēng)

險(xiǎn)管理系統(tǒng)的持續(xù)優(yōu)化改進(jìn)。以下是針對(duì)軟件供應(yīng)商基本風(fēng)險(xiǎn)管理流程(如圖

6幅)。

圖6軟件供應(yīng)商風(fēng)險(xiǎn)管理潮呈

標(biāo)準(zhǔn)確立：結(jié)合企業(yè)的實(shí)際情況，構(gòu)建軟件供應(yīng)商評(píng)估模型，制定軟件供應(yīng)商

考核的評(píng)估標(biāo)準(zhǔn)及安全框架；

資格評(píng)估：根據(jù)制定的軟件供應(yīng)商評(píng)估模型和相關(guān)標(biāo)準(zhǔn)，對(duì)初步符合要求的軟

件供應(yīng)商進(jìn)行多維度的綜合性資格評(píng)估，選出匹配度最高的供應(yīng)商；

風(fēng)險(xiǎn)評(píng)估：對(duì)通過(guò)資格評(píng)估的軟件供應(yīng)商進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，針對(duì)軟件供應(yīng)商

面臨的潛在的安全風(fēng)險(xiǎn)、存在的弱點(diǎn)以及有可能造成的影響綜合分析其可能帶

來(lái)的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估；

風(fēng)險(xiǎn)監(jiān)控：對(duì)軟件供應(yīng)商實(shí)施長(zhǎng)期性的安全風(fēng)險(xiǎn)監(jiān)控，持續(xù)識(shí)別和管理軟件供

應(yīng)商的安全風(fēng)險(xiǎn)，根據(jù)監(jiān)測(cè)結(jié)果實(shí)施更新軟件供應(yīng)商的風(fēng)險(xiǎn)管理策略。

(2)軟件供應(yīng)商評(píng)估模型

為了確保企業(yè)可以擁有較為穩(wěn)定的供應(yīng)鏈，提高企業(yè)的綜合競(jìng)爭(zhēng)力，經(jīng)過(guò)

多方面的綜合考察分析，以下構(gòu)建了一個(gè)系統(tǒng)化、結(jié)構(gòu)化的軟件供應(yīng)商評(píng)估模

型以供參考。軟件供應(yīng)商評(píng)估模型的關(guān)鍵意義在于從不同的維度對(duì)軟件供應(yīng)商

進(jìn)行評(píng)估，通過(guò)考察軟件供應(yīng)商的綜合實(shí)力，以選擇最合適的合作伙伴。以下

是通過(guò)十二種不同維度對(duì)軟件供應(yīng)商評(píng)估的全過(guò)程（如圖7所示）。

圖7軟件供應(yīng)商評(píng)估模型

財(cái)務(wù)實(shí)力：評(píng)估軟件供應(yīng)商的財(cái)務(wù)能力以及穩(wěn)定性，確保供應(yīng)商具有穩(wěn)定性和

可靠性來(lái)提供業(yè)務(wù)所需要的服務(wù)；

質(zhì)量承諾：評(píng)估軟件供應(yīng)商的相關(guān)軟件產(chǎn)品是否符合國(guó)家及行業(yè)標(biāo)準(zhǔn)要求，信

息安全和數(shù)據(jù)保護(hù)控制流程必須遵守法律、監(jiān)管或合同義務(wù)以及任］可行業(yè)標(biāo)準(zhǔn)

的信息安全要求；

企業(yè)資質(zhì)：評(píng)估軟件供應(yīng)鏈上的第三方供應(yīng)商是否能夠提供軟件安全開(kāi)發(fā)能力

的企業(yè)級(jí)資質(zhì)，是否具備國(guó)際、國(guó)家或行業(yè)的安全開(kāi)發(fā)資質(zhì)，在軟件安全開(kāi)發(fā)

的過(guò)程管理、質(zhì)量管理、配置管理、人員能力等方面是否具備一定的經(jīng)驗(yàn)，M

有把安全融入軟件開(kāi)發(fā)過(guò)程的能力；

技術(shù)儲(chǔ)備：評(píng)估軟件供應(yīng)商是否擁有自主研發(fā)能力以及自主技術(shù)知識(shí)產(chǎn)權(quán)，對(duì)

科技知識(shí)是否有進(jìn)行不斷的積累和及時(shí)更新，對(duì)企業(yè)提高技術(shù)水平、促進(jìn)軟件

生產(chǎn)發(fā)展是否有開(kāi)展一系列的技術(shù)研究;

合作能力：評(píng)估軟件供應(yīng)商是否擁有高效的溝通渠道以及全面的解決方案，擁

有共同的價(jià)值觀和工作理念有助于建立長(zhǎng)期的合作關(guān)系；

軟件交付能力：評(píng)估軟件供應(yīng)商在整個(gè)軟件及信息服務(wù)交付的過(guò)程中，是否能

滿足軟件持續(xù)性交付的要求;

應(yīng)急響應(yīng)能力：評(píng)估軟件供應(yīng)商從軟件開(kāi)發(fā)到運(yùn)營(yíng)階段是否持續(xù)實(shí)行實(shí)時(shí)監(jiān)控

機(jī)制，是否有利用適當(dāng)?shù)木W(wǎng)絡(luò)和基于端點(diǎn)的控制來(lái)收集用戶活動(dòng)、異常、故障

和事件的安全日志，是否具有適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性和恢復(fù)能力，以防止或減輕業(yè)

務(wù)中斷和相關(guān)影響；

服務(wù)能力：評(píng)估軟件供應(yīng)商的售前服務(wù)能力、培訓(xùn)服務(wù)能力以及售后維護(hù)服務(wù)

能力是否滿足企業(yè)的要求，在合作期間內(nèi)是否可以始終如一的提供高水平的質(zhì)

量和服務(wù)；

創(chuàng)新能力：評(píng)估軟件供應(yīng)商的綜合創(chuàng)新能力，包括技術(shù)創(chuàng)新能力、研究開(kāi)發(fā)能

力、產(chǎn)品創(chuàng)新能力以及生產(chǎn)創(chuàng)造力等；

內(nèi)部管理能力：評(píng)估軟件供應(yīng)商是否擁有完善的內(nèi)部管理制度流程、有效的風(fēng)

險(xiǎn)防范機(jī)制以及是否對(duì)員工定期進(jìn)行安全培訓(xùn)等，對(duì)供應(yīng)商內(nèi)部安全開(kāi)發(fā)標(biāo)準(zhǔn)

和規(guī)范進(jìn)行審查，要求其能夠?qū)﹂_(kāi)發(fā)軟件的不同應(yīng)用場(chǎng)景、不同架構(gòu)設(shè)計(jì)、不

同開(kāi)發(fā)語(yǔ)言進(jìn)行規(guī)范約束，審查軟件供應(yīng)商對(duì)其自身信息安全保密程度；

軟件成本：評(píng)估軟件供應(yīng)商所提供的軟件成本是否存在虛報(bào)等現(xiàn)象，審查產(chǎn)品

及相關(guān)服務(wù)是否可以按照合理的價(jià)格交付；

軟件適用性：評(píng)估軟件在開(kāi)發(fā)部署以及動(dòng)態(tài)運(yùn)行時(shí)的適用性，是否可以持續(xù)滿

足新的需求。

(3)軟件供應(yīng)商風(fēng)險(xiǎn)管理的作用

通過(guò)對(duì)軟件供應(yīng)商風(fēng)險(xiǎn)管理有助于企業(yè)更加高效準(zhǔn)確地控制軟件供應(yīng)商帶

來(lái)的新的安全風(fēng)險(xiǎn)，以下是軟件供應(yīng)商風(fēng)險(xiǎn)管理的具體作用。

降低風(fēng)險(xiǎn)：通過(guò)對(duì)軟件供應(yīng)商進(jìn)行徹底的審查可以識(shí)別其可能對(duì)業(yè)務(wù)構(gòu)成的安

全威脅的任何潛在弱點(diǎn)，根據(jù)軟件供應(yīng)商對(duì)企業(yè)業(yè)務(wù)的影響確定漏洞的重要

性；

降低成本：通過(guò)對(duì)軟件供應(yīng)商風(fēng)險(xiǎn)進(jìn)行充分的評(píng)估，可以以主動(dòng)而非被動(dòng)的方

式應(yīng)對(duì)安全威脅，減少潛在的安全風(fēng)險(xiǎn)，避免網(wǎng)絡(luò)安全攻擊或其他數(shù)據(jù)泄露等

問(wèn)題給企業(yè)造成的財(cái)務(wù)損失；

提高效率：通過(guò)對(duì)軟件供應(yīng)商進(jìn)行實(shí)時(shí)風(fēng)險(xiǎn)監(jiān)控，可以提前預(yù)知風(fēng)險(xiǎn)并及時(shí)做

出響應(yīng)，提高企業(yè)處理安全風(fēng)險(xiǎn)的效率；

培養(yǎng)長(zhǎng)期合作關(guān)系：通過(guò)對(duì)供應(yīng)商風(fēng)險(xiǎn)的管理、評(píng)估和跟蹤監(jiān)控，加強(qiáng)對(duì)供應(yīng)

商健康狀況的監(jiān)督，有助于培養(yǎng)可靠的長(zhǎng)期合作關(guān)系。

3、編碼階段

（1）構(gòu)建詳細(xì)的軟件物料清單

軟件供應(yīng)鏈安全始于對(duì)關(guān)鍵環(huán)節(jié)的可見(jiàn)性，企業(yè)需要為每個(gè)應(yīng)用程序持續(xù)

構(gòu)建詳細(xì)的SBOM（SoftwareBillofMaterial,軟件物料清單）（如表2所

示），從而全面洞察每個(gè)應(yīng)用軟件的組件情況。SBOM是描述軟件包依賴樹(shù)

的一系列元數(shù)據(jù)，包括供應(yīng)商、版本號(hào)和組彳牛名稱等多項(xiàng)關(guān)鍵信息，這些信息

在分析軟件安全漏洞時(shí)發(fā)揮著重要作用。

字段SPDX值SWID值

供應(yīng)商(3.5)Packagesupplier:<Entity>@role(softwareCreator/publisher),@name

組件(3.1)PackageName:<softwareklentity>@name

唯一標(biāo)識(shí)(3.2)SPDXID:<softwareldentity><a)taglD

版本(3.3)Packageversion:<softwareklentity>@version

組件散列佰(3.10)PackageChecksun:<Payload>/../<File>(?[hash-algorithm):hash

相互關(guān)系(7.1)Relationship:CONTAINS<Link>@rel,@href個(gè)

SBOM編輯人(2.8)Creator:<Entity>@role(tagCreator),@name

表1軟件物料清單示例

上表是一份軟件物料清單示例，其中SPDX和SWID是兩種國(guó)際通用的

SBOM字段標(biāo)準(zhǔn)。SPDX（TheSoftwarePackageDataExchange,軟件包

數(shù)據(jù)交換）是Linux基金會(huì)下的開(kāi)放性標(biāo)準(zhǔn)，其用于交流軟件物料清單信息，

包括組件、許可證、版權(quán)等信息-SPDX通過(guò)為公司和社區(qū)共享重要數(shù)據(jù)提供

通用格式來(lái)減少冗余工作，從而簡(jiǎn)化流程并提高合規(guī)性。SWID（Software

Identification，軟件標(biāo)識(shí)）標(biāo)簽旨在為組織提供一種透明的方式來(lái)跟蹤在他們

的托管設(shè)備商安裝的軟件，它于2012年由ISO提出，并于2015年更新為

ISO/IEC19770-2:2015。

SWID標(biāo)簽文件包含有關(guān)軟件產(chǎn)品特定版本詳盡的描述性信息。除表格

中的兩種應(yīng)用最為廣泛的SBOM字段標(biāo)準(zhǔn)外，還有CycloneDX.

CoSWID.CPE、Grafeas等其他較為常見(jiàn)的標(biāo)準(zhǔn)，各標(biāo)準(zhǔn)的應(yīng)用場(chǎng)景存在一

定的區(qū)別。

SBOM的概念源自制造業(yè)，其中物料清單是詳細(xì)說(shuō)明產(chǎn)品中包含的所有項(xiàng)

目的清單。例如：在汽車行業(yè)，制造商會(huì)為每輛車維護(hù)一份詳細(xì)的材料清單。

此BOM列出了原始設(shè)備制造商自己制造的零件和第三方供應(yīng)商的零件。當(dāng)發(fā)

現(xiàn)有缺陷的部件時(shí)，汽車制造商可以準(zhǔn)確地知道哪些車輛受到影響，并可以通

知車主維修或更換。

同樣，構(gòu)建軟件的企業(yè)也需要維護(hù)準(zhǔn)確、最新的SBOM,其中包括第三方

和開(kāi)源組件的清單，以確保其代碼質(zhì)量高、合規(guī)且安全。企業(yè)通過(guò)要求軟件供

應(yīng)商提供SBOM,以發(fā)現(xiàn)潛在的安全和許可證問(wèn)題，或者應(yīng)用程序是否使用過(guò)

時(shí)的庫(kù)版本。

當(dāng)發(fā)現(xiàn)此類問(wèn)題時(shí)，管理員可以要求供應(yīng)商使用較新版本重建應(yīng)用程序，

在等待更新的軟件期間，安全人員有機(jī)會(huì)采取臨時(shí)緩解措施來(lái)保護(hù)應(yīng)用程序免

受攻擊者利用該漏洞遂行攻擊，還可以幫助安全人員在漏洞被披露或核心庫(kù)發(fā)

布新版本時(shí)，對(duì)應(yīng)用程序和代碼進(jìn)行抽查以避免出現(xiàn)安全問(wèn)題。

舉個(gè)例子：如果安全人員手中有一份在其環(huán)境中運(yùn)行的每個(gè)應(yīng)用程序的物

料清單，那么早在2014年4月，當(dāng)Heartbleed漏洞最初被披露時(shí)，安全

人員就無(wú)需測(cè)試每個(gè)應(yīng)用程序中是否包含OpenSSL,而是可以通過(guò)檢查列表

就立即知道哪些應(yīng)用程序依賴于易受攻擊的版本和需要采取的措施。

(2)SBOM生產(chǎn)流程

在成熟的體系下，SBOM的生產(chǎn)可以通過(guò)軟件生命周期每個(gè)階段所使用的

工具和任務(wù)流程化地完成，這些工具和任務(wù)包括知識(shí)產(chǎn)權(quán)審計(jì)、采購(gòu)管理、許

可證管理、代碼掃描、版本控制系統(tǒng)、編譯器、構(gòu)建工具、CI/CD工具、包

管理器和版本庫(kù)管理工具等(如圖8所示)。

圖8SBOM生產(chǎn)流f呈

SBOM中應(yīng)該包含軟件組件與此組件所依賴的任何其他基礎(chǔ)軟件組件之間

的關(guān)系。軟件產(chǎn)品在發(fā)布任何版本時(shí)，SBOM都應(yīng)作為產(chǎn)品文檔的一部分被

提供，在CI/CD的標(biāo)準(zhǔn)實(shí)踐中,SBOM中包含的信息將不斷更新。它從在需

求中集成安全性需求開(kāi)始，或者是SBOM中的一些元素已經(jīng)在需求階段被添

加到用例中,這樣安全性和SBOM就可以成為DevOps過(guò)程的標(biāo)準(zhǔn)和結(jié)構(gòu)

化的一部分。

為了確保持續(xù)一致性，應(yīng)在測(cè)試工作中將SBOM作為測(cè)試用例的一部

分，同時(shí)SBOM信息應(yīng)隨著使用工具和組件的更新而更新，使SBOM信息

自動(dòng)更新成為CI/CD管道中每個(gè)構(gòu)建周期標(biāo)準(zhǔn)的一部分。在發(fā)布運(yùn)營(yíng)階段使

用SBOM可以在使用的庫(kù)或組件存在漏洞時(shí)，以更快的時(shí)間檢測(cè)出有哪些應(yīng)

用程序中存在這些漏洞,并及時(shí)進(jìn)行修復(fù)工作。

(3)SBOM可提高軟件供應(yīng)鏈的透明度

盡管SBOM對(duì)許多人來(lái)說(shuō)依然很陌生，但其需求卻不斷呈現(xiàn)增長(zhǎng)態(tài)勢(shì)。

Gartner在其2020年的〃應(yīng)用程序安全測(cè)試魔力象限〃中預(yù)測(cè)到："到

2024年，至少一半的企業(yè)軟件買家要求軟件供應(yīng)商必須提供詳細(xì)的、定期更

新的軟件物料清單，同時(shí)60%的企業(yè)將為他們創(chuàng)建的所有應(yīng)用程序和服務(wù)自

動(dòng)構(gòu)建軟件材料清單,而這兩組數(shù)據(jù)在2019年都還不到5%?！?/p>

現(xiàn)代軟件是使用第三方組件組裝而成的，它們以復(fù)雜而獨(dú)特的方式粘合在

一起，并與原始代碼集成以實(shí)現(xiàn)企業(yè)所需要的功能。在現(xiàn)代多層供應(yīng)鏈中，單

個(gè)軟件可能有成百上千的供應(yīng)商，從原材料來(lái)源到最終組裝系統(tǒng)的全套供應(yīng)商

中找出某一組件的來(lái)源需要花費(fèi)大量的時(shí)間和精力。因此，為所有組件構(gòu)建詳

細(xì)準(zhǔn)確的SBOM,幫助企業(yè)跟蹤當(dāng)前運(yùn)行的程序、源代碼、構(gòu)建依賴項(xiàng)、子

組件等所依賴組件的使用情況，檢測(cè)軟件組件是否帶有已知的安全漏洞或功能

漏洞。

圖9SBOM的作用

SBOM有助于揭示整個(gè)軟件供應(yīng)鏈中的漏洞與弱點(diǎn)，提高軟件供應(yīng)鏈的透

明度，減輕軟件供應(yīng)鏈攻擊的威脅。通過(guò)使用SBOM可以幫助企業(yè)進(jìn)行漏洞

管理、應(yīng)急響應(yīng)、資產(chǎn)管理、許可證和授權(quán)管理、知識(shí)產(chǎn)權(quán)管理、合規(guī)性管

理、基線建立和配置管理等（如圖9所示）。

通過(guò)自動(dòng)化創(chuàng)建SBOM可以在漏洞披露時(shí)及時(shí)地進(jìn)行響應(yīng)排查以及快速

的安全修復(fù)，最小化軟件供應(yīng)鏈的安全風(fēng)險(xiǎn)；在開(kāi)源組件和版本快速迭代的情

況下，從風(fēng)險(xiǎn)管理的角度跟蹤和持續(xù)監(jiān)測(cè)閉源組件和開(kāi)源組件的安全態(tài)勢(shì)；

同時(shí)SBOM列舉了管理開(kāi)源組件的許可證，可以保護(hù)企業(yè)免受不當(dāng)使用

相關(guān)的法律或知識(shí)產(chǎn)權(quán)的風(fēng)險(xiǎn)，保護(hù)應(yīng)用程序在軟件供應(yīng)鏈中的合規(guī)性，避免

將已知缺陷傳遞到軟件供應(yīng)鏈的下游。

（4）SBOM為漏洞風(fēng)險(xiǎn)治理節(jié)省大量時(shí)間

SBOM的使用可以為軟件供應(yīng)鏈的漏洞治理節(jié)省大量時(shí)間。及時(shí)性對(duì)于企

業(yè)在漏洞修復(fù)時(shí)是非常重要的。以往，企業(yè)在修復(fù)已部署系統(tǒng)的漏洞缺陷時(shí)往

往需要幾個(gè)月甚至是數(shù)年的時(shí)間，其重要原因之一是企業(yè)無(wú)法在漏洞出現(xiàn)的第

一時(shí)間知曉該信息。

軟件供應(yīng)鏈下游的企業(yè)需要等待上游軟件供應(yīng)商完成軟彳曲卜丁,才可以進(jìn)

行漏洞修復(fù),在等待的時(shí)間內(nèi)，下游企業(yè)往往會(huì)面臨無(wú)法預(yù)知的安全風(fēng)險(xiǎn)C而

構(gòu)建詳細(xì)準(zhǔn)確的SBOM則可以避免這一現(xiàn)象的發(fā)生，允許所有利益相關(guān)者在

漏洞發(fā)現(xiàn)時(shí)立即開(kāi)始評(píng)估漏洞，并開(kāi)始制定相關(guān)的補(bǔ)救措施。以下通過(guò)一張對(duì)

比圖來(lái)說(shuō)明SBOM對(duì)漏洞風(fēng)險(xiǎn)治理時(shí)間的影響（如圖10所示）。

風(fēng)險(xiǎn)治理

時(shí)間線缺少SBOM

SBOM的影響

A發(fā)現(xiàn)漏洞

—韁*

修復(fù)?原始的件

—他發(fā)-修底坦件

—修凝軟件產(chǎn)品

—修發(fā)產(chǎn)品運(yùn)營(yíng)

圖10SBOM對(duì)漏洞風(fēng)險(xiǎn)治理時(shí)間的影響

受感染的開(kāi)源組件在軟件中未被修復(fù)的每一分鐘都會(huì)增加潛在被利用的風(fēng)

險(xiǎn)，SBOM有助于企業(yè)在漏洞披露的早期對(duì)漏洞進(jìn)行識(shí)別，通過(guò)SBOM提

供受感染開(kāi)源組件和依賴項(xiàng)的準(zhǔn)確位置，采取適當(dāng)?shù)牟襟E進(jìn)行修改，為企業(yè)在

風(fēng)險(xiǎn)分析、漏洞管理和補(bǔ)救過(guò)程中節(jié)省數(shù)百小時(shí)至數(shù)月的時(shí)間。

(5)使用基于SCA技術(shù)的工具

企業(yè)需要謹(jǐn)慎、合理地選擇、獲取和使用第三方閉源組件和開(kāi)源組件。軟

件安全團(tuán)隊(duì)或研發(fā)團(tuán)隊(duì)通過(guò)必要的技術(shù)手段確保所使用的第三方組件的安全

性，及時(shí)獲取所使用第三方組件和開(kāi)源組件的漏洞情報(bào)，并適時(shí)做出響應(yīng)。

軟件成分分析(SoftwareCompositionAnalysis,SCA)是一種對(duì)二進(jìn)

制軟件的組成部分進(jìn)行識(shí)別、分析和追蹤的技術(shù)。SCA可以生成完整的

SBOM,分析開(kāi)發(fā)人員所使用的各種源碼、模塊、框架和庫(kù)，以識(shí)別和清點(diǎn)開(kāi)

源軟件(OSS)的組件及其構(gòu)兩口依賴關(guān)系，并精準(zhǔn)識(shí)別系統(tǒng)中存在的已知安

全漏洞或者潛在的許可證授權(quán)問(wèn)題，把這些安全風(fēng)險(xiǎn)排除在軟件的發(fā)布上線之

前，也適用于軟件運(yùn)行中的診斷分析。

軟件成分分析分為兩種模式，靜態(tài)和動(dòng)態(tài)。靜態(tài)模式是使用工具對(duì)目標(biāo)工

程文件進(jìn)行解壓，識(shí)別和分析各個(gè)組件的關(guān)系；動(dòng)態(tài)模式則是依賴于執(zhí)行過(guò)

程，在程序執(zhí)行的同時(shí)收集必要的活動(dòng)元數(shù)據(jù)信息，通過(guò)數(shù)據(jù)流跟蹤的方式對(duì)

目標(biāo)組件的各個(gè)部分之間的關(guān)系進(jìn)行標(biāo)定。通過(guò)使用基于多源SCA開(kāi)源應(yīng)用

安全缺陷檢測(cè)技術(shù)的安全審直工具，可以精準(zhǔn)識(shí)別應(yīng)用開(kāi)發(fā)過(guò)程中，軟件開(kāi)發(fā)

人員有意或違規(guī)引用的開(kāi)源第三方組件，并通過(guò)對(duì)應(yīng)用組成進(jìn)行分析，多維度

提取開(kāi)源組件特征，計(jì)算組件指紋信息，深度挖掘組件中潛藏的各類安全漏洞

及開(kāi)源協(xié)議風(fēng)險(xiǎn)。

某金融企業(yè)的業(yè)務(wù)團(tuán)隊(duì)無(wú)法接受速度的遲滯，在研發(fā)效率和編碼速度的考

量下，大量的軟件應(yīng)用都基于第三方的組件、開(kāi)源代碼、通用函數(shù)庫(kù)實(shí)現(xiàn)，隨

之而來(lái)是絕大多數(shù)應(yīng)用程序都包含開(kāi)源組件的安全風(fēng)險(xiǎn)，為企業(yè)帶來(lái)了許多未

知的安全隱患。為了更好地進(jìn)行開(kāi)源組件治理工作，該企業(yè)引入基于SCA技

術(shù)的工具，與DevOps流程無(wú)縫結(jié)合,在流水線的測(cè)試階段自動(dòng)發(fā)現(xiàn)應(yīng)用程

序中的開(kāi)源組件,提供關(guān)鍵版本控制和使用信息，并在DevOps的任何階段

檢測(cè)到漏洞風(fēng)險(xiǎn)和策咯風(fēng)險(xiǎn)時(shí)觸發(fā)安全警報(bào)。所有信息都通過(guò)安全和開(kāi)發(fā)團(tuán)隊(duì)

所使用的平臺(tái)工具實(shí)時(shí)發(fā)送，實(shí)現(xiàn)及時(shí)的反饋循環(huán)和快速行動(dòng)。

在不改變?cè)撈髽I(yè)現(xiàn)有開(kāi)發(fā)測(cè)試流程的前提下,將SCA工具與代碼版本管

理系統(tǒng)、構(gòu)建工具、持續(xù)集成系統(tǒng)、缺陷跟蹤系統(tǒng)等無(wú)縫對(duì)接，將源代碼缺陷

檢測(cè)和源代碼合規(guī)檢測(cè)融入到企業(yè)開(kāi)發(fā)測(cè)試流程中，幫助企業(yè)以最小代價(jià)落地

源代碼安全保障體系，降低軟件安全問(wèn)題的修復(fù)成本，提升軟件質(zhì)量。

4、發(fā)布運(yùn)營(yíng)階段

(1)建立成熟的應(yīng)急響應(yīng)機(jī)制

在軟件的發(fā)布運(yùn)營(yíng)階段，企業(yè)需要具備安全應(yīng)急響應(yīng)能力（如圖11所

示），能在軟件發(fā)布后對(duì)發(fā)生在軟件和軟件補(bǔ)丁獲取渠道的軟件供應(yīng)鏈安全事

件、軟件安全漏洞披露事件進(jìn)行快速的安全響應(yīng),控制和消除安全事件所帶來(lái)

的安全威脅和不良影響，進(jìn)而追溯和解決造成安全事件的根源所在。

發(fā)布運(yùn)營(yíng)階段包括監(jiān)測(cè)告警、應(yīng)急響應(yīng)、事件處置、持續(xù)跟進(jìn)等關(guān)鍵活

動(dòng)。在日常的運(yùn)營(yíng)管理中，企業(yè)可以通過(guò)采用自動(dòng)化分析技術(shù)對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)

統(tǒng)計(jì)分析，發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)，并自動(dòng)發(fā)送警報(bào)信息。在有突發(fā)事件出現(xiàn)

時(shí)，通過(guò)監(jiān)測(cè)預(yù)警，安全人員可以迅速地進(jìn)行安全響應(yīng)，在最短的時(shí)間內(nèi)確定

相關(guān)解決方案并進(jìn)行事件處置，在解決之后進(jìn)行經(jīng)驗(yàn)總結(jié)并改進(jìn)。通過(guò)監(jiān)測(cè)預(yù)

警技術(shù)對(duì)軟件系統(tǒng)進(jìn)行實(shí)時(shí)自動(dòng)監(jiān)測(cè)，當(dāng)發(fā)現(xiàn)安全問(wèn)題時(shí)，立即發(fā)出警告，同

時(shí)實(shí)現(xiàn)信息快速發(fā)布和安全人員的快速響應(yīng)。

圖11安全風(fēng)險(xiǎn)監(jiān)測(cè)分析及響應(yīng)

在發(fā)布運(yùn)營(yíng)階段發(fā)生突發(fā)事件之后的應(yīng)急響應(yīng)與對(duì)安全事件進(jìn)行處理的管

理能力相關(guān)，因此，企業(yè)需要加強(qiáng)檢測(cè)預(yù)警能力、提高應(yīng)急響應(yīng)速度、加快應(yīng)

急處置效率，從事后被動(dòng)救火轉(zhuǎn)化為主動(dòng)應(yīng)急管理。充分預(yù)估突發(fā)事件的場(chǎng)

景，通過(guò)管理活動(dòng)與技術(shù)手段避免突發(fā)事件的發(fā)生，在突發(fā)事件發(fā)生時(shí)能夠及

時(shí)監(jiān)測(cè)預(yù)警，并有序進(jìn)行處理行為。

由于在應(yīng)用程序發(fā)布很久之后，仍有可能在其中發(fā)現(xiàn)新的安全漏洞，這些

漏洞可能存在于構(gòu)成應(yīng)用程序的底層開(kāi)源組件中，導(dǎo)致"零日〃漏洞的數(shù)量不

斷增加。因此，企業(yè)需要制定事件響應(yīng)和漏洞處理策略，與領(lǐng)先的漏洞研究機(jī)

構(gòu)進(jìn)行合作，積極監(jiān)控大量漏洞信息來(lái)源。同時(shí)，進(jìn)行持續(xù)性的安全檢查，定

期的安全檢查可以保護(hù)應(yīng)用程序免受新發(fā)現(xiàn)的安全漏洞的影響。

(2)構(gòu)建完善的運(yùn)營(yíng)保障工具鏈

BAS2017年，Gartner《面向威脅技術(shù)的成熟度曲線》中首次提及入侵與

攻擊模擬(BreachandAttackSimulation,BAS)工具(如圖12所

示),并將其歸到新興技術(shù)行列。在2021年,Gartner將BAS納入

"2021年頂級(jí)安全和風(fēng)險(xiǎn)管理趨勢(shì)〃。

BAS通過(guò)模擬對(duì)端點(diǎn)的惡意軟件攻擊、數(shù)據(jù)泄露和復(fù)雜的APT攻擊，測(cè)

試組織的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施是否安全可靠，在執(zhí)行結(jié)束時(shí)，系統(tǒng)將生成關(guān)于組

織安全風(fēng)險(xiǎn)的詳細(xì)報(bào)告，并提供相關(guān)解決方案。同時(shí)結(jié)合紅隊(duì)和藍(lán)隊(duì)的技術(shù)使

其實(shí)現(xiàn)自動(dòng)化?口持續(xù)化,實(shí)時(shí)洞察組織的安全態(tài)勢(shì)C

BAS可以確定漏洞的覆蓋范圍并對(duì)檢測(cè)出的漏洞提供補(bǔ)救意見(jiàn)，防止攻擊

者對(duì)漏洞加以利用。除了自動(dòng)化和持續(xù)監(jiān)控之外，BAS還使安全團(tuán)隊(duì)改變了

他們的防御方式，采取更為主動(dòng)積極的策略，維護(hù)組織各個(gè)方面的安全。

WAF早在2007年,國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心檢測(cè)到中國(guó)

大陸被篡改網(wǎng)站總數(shù)累積達(dá)61228個(gè)，比2006年增加了1.5倍。其中,

中國(guó)大陸政府網(wǎng)站被篡改各月累計(jì)達(dá)4234個(gè)。為了更好的應(yīng)對(duì)網(wǎng)絡(luò)攻擊，

Web應(yīng)用防護(hù)系統(tǒng)也被稱為網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)(WebApplication

FirewallWAF)應(yīng)運(yùn)而生，WAF可以對(duì)來(lái)自Web應(yīng)用程序客戶端的各類

請(qǐng)求進(jìn)行內(nèi)容檢測(cè)和驗(yàn)證，確保其安全性和合法性，對(duì)非法的請(qǐng)求予以實(shí)時(shí)阻

圖13WAF技術(shù)原理

WAF通過(guò)增強(qiáng)輸入驗(yàn)證，可以在運(yùn)營(yíng)階段有效防止網(wǎng)頁(yè)篡改、信息泄

露、木馬植入等惡意網(wǎng)絡(luò)入侵行為，從而減小Web服務(wù)器被攻擊的可能

性。同時(shí)，WAF還可以判斷用戶是否是第一次訪問(wèn)，將請(qǐng)求重定向到默認(rèn)登

錄頁(yè)面并且記錄時(shí)間，通過(guò)檢測(cè)用戶的整個(gè)操作行為可以更容易識(shí)別攻擊。

RASP作為第一道防線，WAF能夠阻止基本攻擊，但難以椅測(cè)到APT等

高級(jí)威脅，不僅如此，企業(yè)需要持續(xù)〃調(diào)整〃WAF以適應(yīng)不斷變化的應(yīng)用程

序，這一過(guò)程消耗了安全管理人員大量的精力。此時(shí)，運(yùn)行時(shí)應(yīng)用程序自我保

護(hù)技術(shù)(RuntimeApplicationSelf-protection,RASP)(如圖14所示)

作為新一代運(yùn)行時(shí)保護(hù)技術(shù)被引入，RASP可以提供更深入的保護(hù)能力,更廣

泛的覆蓋范圍，并且可以花費(fèi)更少的時(shí)間。

RASP將保護(hù)代碼像一劑疫苗注入到應(yīng)用程序中，與應(yīng)用程序融為一體，

使應(yīng)用程序具備自我保護(hù)能力。RASP結(jié)合應(yīng)用的邏輯及上下文，對(duì)訪問(wèn)應(yīng)用

系統(tǒng)的每一段堆棧進(jìn)行檢測(cè)，當(dāng)應(yīng)用程序遭受到實(shí)際攻擊和傷害時(shí)，RASP可

以實(shí)時(shí)檢測(cè)和阻斷安全攻擊，無(wú)需人工干預(yù)，最終實(shí)現(xiàn)軟件應(yīng)用的自我保護(hù)，

確保軟件應(yīng)用的安全運(yùn)行。

圖14RASP技術(shù)原理

RASP在運(yùn)營(yíng)階段可以應(yīng)對(duì)無(wú)處不在的應(yīng)用漏洞與網(wǎng)絡(luò)威脅，為應(yīng)用程序

提供全生命周期的動(dòng)態(tài)安全保護(hù)，可以精準(zhǔn)識(shí)別應(yīng)用運(yùn)行時(shí)暴露出的各種安全

漏洞，進(jìn)行深度且更加有效的威脅分析，快速定位應(yīng)用漏洞，大大提升修復(fù)效

率，保障應(yīng)用程序的安全性C

(3)威脅情報(bào)平臺(tái)

通過(guò)建立威脅情報(bào)平臺(tái)(ThreatIntelligencePlatform.TIP)(如圖27

所示)，可以幫助安全人員明確企業(yè)的在線資產(chǎn)和安全狀況，根據(jù)企業(yè)自身資

產(chǎn)的重要程度和影響面，進(jìn)行相關(guān)的漏洞修補(bǔ)和風(fēng)險(xiǎn)管理；同時(shí)可以幫助安全

人員了解企業(yè)自身正在遭受或未來(lái)面臨的安全威脅，提供解決建議。

開(kāi)源代碼■第三方管理■內(nèi)部情報(bào)■共享情報(bào)

收集

威脅情報(bào)平臺(tái)

整合

SIEMI防火墻，IPS■蟒點(diǎn)，SOAR

圖15威脅情報(bào)平臺(tái)原理

威脅情報(bào)平臺(tái)與各類網(wǎng)絡(luò)安全設(shè)備和軟件系統(tǒng)協(xié)同工作，為威脅分析和防

護(hù)決策提供數(shù)據(jù)支撐，通過(guò)對(duì)全球網(wǎng)絡(luò)威脅態(tài)勢(shì)進(jìn)行長(zhǎng)期監(jiān)測(cè)，以大數(shù)據(jù)為基

礎(chǔ)發(fā)布威脅態(tài)勢(shì)預(yù)警，實(shí)時(shí)洞悉風(fēng)險(xiǎn)信息，進(jìn)而快速處置風(fēng)險(xiǎn)。

(4)容器安全工具

在發(fā)布運(yùn)營(yíng)階段，通過(guò)使用容器安全工具(ContainerSecurity)(如圖

28所示)，可以自動(dòng)化構(gòu)建容器資產(chǎn)相關(guān)信息,提供容器環(huán)境中各類資產(chǎn)的

狀態(tài)監(jiān)控，包括容器、鏡像、鏡像倉(cāng)庫(kù)和主機(jī)等基礎(chǔ)資產(chǎn)信息，使資產(chǎn)擁有較

強(qiáng)的可擴(kuò)展能力；通過(guò)建立智能應(yīng)用補(bǔ)丁掃描工具，為安全人員提供鏡像管

理、鏡像檢測(cè)以及自動(dòng)化補(bǔ)丁修復(fù)建議。

LHTTPInterfaceNotifierNotificationStorage

Core

LiblndexLibvuln

UpdatersVulnerabilityStorage

LayerContentStorage

圖16某容器安全工具架構(gòu)

為了更好地應(yīng)對(duì)未知和迅速變化的攻擊，容器安全工具可以對(duì)數(shù)據(jù)進(jìn)行持

續(xù)監(jiān)控和分析，通過(guò)結(jié)合系統(tǒng)規(guī)則、基線和行為建模等要素，自適應(yīng)識(shí)別運(yùn)行

時(shí)容器環(huán)境中的安全威脅；建立一鍵自動(dòng)化檢測(cè)機(jī)制，給安全人員提供可視化

基線檢查結(jié)果，同時(shí)將企業(yè)現(xiàn)有的安全技術(shù)與持續(xù)運(yùn)營(yíng)的安全模型相結(jié)合，實(shí)

現(xiàn)持續(xù)化的動(dòng)態(tài)安全檢測(cè)。

二、軟件供應(yīng)鏈安全應(yīng)用實(shí)踐

1、可信研發(fā)運(yùn)營(yíng)安全能力成熟度模型

中國(guó)信息通信研究院云計(jì)算與大數(shù)據(jù)研究所自2019年起，聯(lián)合業(yè)界眾多

頭部廠商專家制定《可信研發(fā)運(yùn)營(yíng)安全能力成熟度模型》標(biāo)準(zhǔn)，提出可信研發(fā)

運(yùn)營(yíng)安全能力體系框架（如圖17所示）。可信研發(fā)運(yùn)營(yíng)安全能力體系框架的

構(gòu)建繼承SDL與DevSecOps的核心理念，安全前置，汲取SDL與

DevSecOps體系的優(yōu)點(diǎn)，優(yōu)化具體安全實(shí)踐要素，是一種貫穿研發(fā)運(yùn)營(yíng)全生

命周期的安全理念。

求

限茬

全口

出,安

;

甲？

里8

舞內(nèi)

目角

【項(xiàng)

置管理

it配

全審

;安

：：

更詈理

，當(dāng)

首理

即更

審計(jì)

配置

求

B?岑要

安全

皆坦

組色

依賴

取1日