随着信息技术的飞速发展,软件已经成为现代社会运转的基石。然而,软件供应链的复杂性和多样性使得其安全问题日益凸显。GB/T 43698-2024《网络安全技术 软件供应链安全要求》是国内首个针对软件供应链安全的国家标准,旨在为我国软件供应链安全管理提供一个体系化的管理框架,为第三方机构开展软件供应链安全检测和评估提供依据,也可为主管监管部门提供参考。GB/T 43848-2024《网络安全技术 软件产品开源代码安全评价方法》旨在规范软件产品中开源代码的安全评价工作,提升软件产品的整体安全性。两项国标均将于2024年11月1日开始实施。
安全419了解到,默安科技参与了两项国标的编制,其安全专家针对两项国标作出解读:
GB/T 43698-2024 《网络安全技术 软件供应链安全要求》
该标准确立了软件供应链安全目标、保护框架,规定了软件供应链安全风险管理要求和供需双方的组织管理和供应活动管理安全要求。
软件供应链安全目标
软件供应链安全目标是建立软件供应链安全风险管理能力体系并持续改进,防范软件供应链中的供应关系风险,防范供应活动引入的技术安全风险和知识产权风险,保障业务持续稳定安全运行。
● 首先,软件供应链安全风险需要体系化管理,技术和管理都只能解决其中一部分问题;
● 其次,软件供应链安全关注供应关系风险,包括软件供应中断、软件功能受限、软件服务降级等,这个是供应链安全特有的问题,但是这些问题难以通过技术手段完全解决;
● 最后,需要对软件供应链风险进行全面的识别和管理,除了供应关系风险以外,也包括软件漏洞、后门、篡改、伪造、许可协议不合规等技术安全风险和知识产品风险。标准的附录A对软件供应链安全风险进行了全面的识别,为软件供应链安全风险评估提供参考。
软件供应链安全保护框架
该标准确立了软件供应链安全保护框架,规定了供需双方的软件供应链安全风险管理要求,并从组织管理和供应活动两个方面规定了需方安全要求和供方安全要求。标准提出的软件供应链安全风险管理要求、需方安全要求、供方安全要求都是围绕这个框架进行深入拆解。
软件供应链安全风险管理要求
风险闭环管理是软件供应链安全管理的核心,应制定管理目标和策略,构建软件供应链安全图谱并建立安全信息的采集和跟踪机制,确定软件供应链风险管理的对象、范围和边界,定期开展软件供应链安全风险检测和评估并制定风险消减措施,定期对供应链安全要求执行情况进行督查。
需方安全要求
作为软件供应链的重要参与方,需方在安全管理中扮演着重要角色。标准对需方的安全要求进行了详细规定,包括组织管理、供应活动管理等方面。在组织管理方面,要求需方建立健全的组织机构、管理制度、人员管理、知识产权和供应商管理机制;在供应活动管理方面,要求需方对软件采购、获取、运维、废止等各个环节进行严格控制,确保软件的安全性和可靠性。
其中有几个需要关注的要点:
● 构建软件供应链图谱并定期开展风险检测和评估
● 加强软件供应商安全管理
● 细化软件采购时的安全要求传递
● 软件获取阶段需进行完整性验证和安全检测并掌握相关技术资料
● 运维阶段应采取措施对常见软件供应链攻击路径进行防范
供方安全要求
标准对供方提出了较高的安全要求,在组织管理方面,要求需方建立健全的组织机构、管理制度、人员管理和知识产权管理机制;在供应活动管理方面,要求供方对软件开发、交付、运维、废止等各个环节进行严格控制,确保软件的安全性和可靠性。
其中有几个需要关注的要点:
● 开展软件开发安全管理
● 开展开源组件安全管理
● 应避免交付约定范围外的内容
● 软件运维阶段积极开展供应链安全风险检测和评估
GB/T 43848-2024 《网络安全技术 软件产品开源代码安全评价方法》
该标准描述了软件产品中的开源代码成分安全评价要素和评价流程,适用于对软件产品包含的开源代码成分进行静态安全评价,为各单位对于软件产品中的开源代码成分进行安全性自评价提供依据,为第三方机构开展此类工作提供参考。
软件产品开源代码安全评价的前提是建立开源代码的物料清单,详细披露开源代码安全评价所需的各类信息。评价方法包含评价要素和评价流程,其中,评价要素覆盖开源代码来源、开源代码安全质量、开源代码知识产权和开源代码管理,评价流程依据评价要素给出评价过程与手段。
该标准的制定和实施对于提升软件产品开源代码的安全性具有重要意义,有助于软件企业全面了解自身产品中开源代码的安全状况,发现潜在的安全风险并及时采取措施进行改进。
默安科技软件供应链风险评估平台
软件供应链风险评估平台是默安科技自主研发的一个软件系统风险管控平台。基于知识图谱和威胁情报的软件供应链安全风险检测和分析技术,面向软件供应链安全治理先行行业,提供软件供应链安全风险评价指标和技术检测手段,通过自动化软件图谱信息采集和日常化软件成分风险检测,提升软件供应链的透明度,实现风险可追溯性,为软件供应链安全治理提供技术抓手。通过该平台,可以全面评估软件成分中三方应用和三方组件的风险详情、云服务接口调用风险、开源许可、数据跨境等各类风险,满足供应链相关政策和标准要求,以及网信、公安等监管机构安全合规要求。
图 软件供应链风险评估平台覆盖的主要环节
作为GB/T 43698-2024《网络安全技术 软件供应链安全要求》和GB/T 43848-2024《网络安全技术 软件产品开源代码安全评价方法》两项国标的参编单位,默安科技积极推动贯标工作。目前,默安科技软件供应链风险评估平台已经成功应用于多个行业,未来将继续参与软件供应链安全标准、治理等相关研究并探索更多落地实践,为广大政企、关基单位的开源治理、软件供应链安全工作贡献专业力量。