隨著安全領(lǐng)導(dǎo)者在建立軟件供應(yīng)鏈安全計(jì)劃方面取得更多進(jìn)展，他們?cè)诳捎玫墓ぞ叻矫娑紩?huì)面臨好消息和壞消息，而無論其好壞，技術(shù)都在迅速發(fā)展。

對(duì)于快速發(fā)展的軟件供應(yīng)鏈安全技術(shù)來說，好消息是，快速的創(chuàng)新步伐提供了越來越多的機(jī)會(huì)，可以提高軟件產(chǎn)品組合中大量組件和代碼的可見性和透明度。

壞消息是，實(shí)驗(yàn)和創(chuàng)新同時(shí)朝著許多不同的方向發(fā)展，安全工具領(lǐng)域是一個(gè)令人困惑的混合體，混雜著不斷發(fā)展的各種類別和利基產(chǎn)品。

其中一些是更傳統(tǒng)的應(yīng)用程序安全工具，它們正在向更適合開發(fā)人員的方向發(fā)展。還有一些是傳統(tǒng)的開發(fā)工具，它們?cè)黾恿艘园踩珵橹行牡目刂坪凸δ埽詰?yīng)對(duì)供應(yīng)鏈風(fēng)險(xiǎn)的挑戰(zhàn)。還有一些來自DevSecOps的領(lǐng)域，旨在促進(jìn)開發(fā)和安全領(lǐng)域之間的相互協(xié)作。

Tanium公司的產(chǎn)品顧問Tom Going表示：“人們很難對(duì)軟件供應(yīng)鏈的安全有一個(gè)清晰的認(rèn)識(shí)，原因之一是供應(yīng)鏈中有很多環(huán)節(jié)可能出錯(cuò)。企業(yè)可能會(huì)在軟件中直接引入漏洞，就像幾年前的SolarWinds數(shù)據(jù)泄露事件一樣，在Log4j等常見庫(kù)中存在漏洞，甚至像一個(gè)受損的證書頒發(fā)機(jī)構(gòu)這樣的東西。”

軟件供應(yīng)鏈安全沒有黃金標(biāo)準(zhǔn)

雖然有一些軟件供應(yīng)鏈安全產(chǎn)品棧和平臺(tái)開始在市場(chǎng)上整合，但這些產(chǎn)品的功能組合卻多種多樣。

這些平臺(tái)傾向于圍繞的主要工具類別是軟件組合分析(SCA)和生成軟件材料清單(SBOM)的工具，即現(xiàn)代軟件的所謂“成分列表”。雖然SCA和SBOM傾向于構(gòu)成許多軟件供應(yīng)鏈安全工具的支柱，但對(duì)于試圖構(gòu)建路線圖以支持管理供應(yīng)鏈風(fēng)險(xiǎn)全面計(jì)劃的首席信息安全官來說，這確實(shí)只是冰山一角。

Gartner公司的高級(jí)主管兼應(yīng)用安全分析師Dale Gardner表示，“當(dāng)人們關(guān)注供應(yīng)鏈安全時(shí)，他們關(guān)注的是使用SCA等工具，他們關(guān)注的是SBOM。這些都是解決方案中非常重要的部分，但它們實(shí)際上只是一種不全面的解決方案。”

這還涉及許多其他活動(dòng)部分，包括機(jī)密管理、依賴關(guān)系映射和管理、持續(xù)集成(CI)/持續(xù)交付(CD)管道安全性、有效的存儲(chǔ)庫(kù)管理等。大多數(shù)專家都認(rèn)為，安全團(tuán)隊(duì)將很難從一家供應(yīng)商那里找到他們需要的一切。

咨詢機(jī)構(gòu)Coalfire公司的應(yīng)用程序安全高級(jí)經(jīng)理Michael Born解釋說：“我認(rèn)為，沒有一家供應(yīng)商能夠以滿足所有企業(yè)需求的方式處理與軟件供應(yīng)鏈安全相關(guān)的所有挑戰(zhàn)。”他表示，缺乏整合并不一定是件壞事。他說，“這可能會(huì)使企業(yè)陷入與供應(yīng)商鎖定相關(guān)的風(fēng)險(xiǎn)，并且可能意味著企業(yè)成熟或變化的速度比供應(yīng)商能夠跟上的速度快。”

這種碎片化不僅是來自幾個(gè)不同技術(shù)角度(以開發(fā)為中心的工具、以操作為中心的模具、以安全為中心的工具)的有機(jī)創(chuàng)新的結(jié)果，而且還有一系列不同的用例。

德勤公司的網(wǎng)絡(luò)風(fēng)險(xiǎn)安全供應(yīng)鏈負(fù)責(zé)人Sharon Chand解釋說:“我們必須非常具體地了解正在談?wù)摰娘L(fēng)險(xiǎn)或用例，以便能夠找到合適的軟件解決方案或整體解決方案堆棧來解決這些問題。因?yàn)槲艺嬲枰裁礃拥慕鉀Q方案將取決于在軟件供應(yīng)鏈安全場(chǎng)景中的位置。如果我是軟件生產(chǎn)者，那么看起來與軟件消費(fèi)者不同。通常情況下，在整個(gè)供應(yīng)鏈生命周期的某些階段，每個(gè)人都會(huì)同時(shí)處于這兩種狀態(tài)。”

企業(yè)如何將它們整合在一起將高度依賴于他們的用例、基礎(chǔ)設(shè)施，以及他們團(tuán)隊(duì)的技能和文化的構(gòu)成。不幸的是，目前還沒有簡(jiǎn)單的方法來構(gòu)建這個(gè)堆棧。

安全工具的十個(gè)類別

下面的安全工具列表為首席信息安全官提供了一個(gè)很好的入門清單，用于規(guī)劃適合他們的軟件供應(yīng)鏈安全解決方案堆棧。這份名單雖然并不詳盡，而且可能很快就會(huì)改變，但是它包含了主要的工具類別和網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者可能想要考慮的軟件供應(yīng)鏈安全路線圖的特性。

(1)SCA和SBOM的生成

SCA工具目前最為人所知的是它們?cè)谲浖?yīng)鏈安全中的作用，但這一類別的起源故事開始于更為平淡無奇的領(lǐng)域。這些工具最初是為了幫助開發(fā)團(tuán)隊(duì)在其構(gòu)建中跟蹤其開源組件的使用情況，以處理許可合規(guī)性。隨著供應(yīng)鏈安全開始獲得更多關(guān)注，SCA工具內(nèi)置了對(duì)與跟蹤組件相關(guān)的漏洞和安全風(fēng)險(xiǎn)的更深入分析和管理，并成為企業(yè)生成SBOM和管理其開源使用的主要方法之一。Mend.io(前身為WhiteSource)、FOSSA和Synopsys Black Duck就是這種進(jìn)化路徑的主要例子。

SCA并不是生成SBOM的唯一選擇。其他一些SBOM生成方法包括使用命令行界面(CLI)工具，例如Cyclone DX CLI和SPDX Tool，運(yùn)行時(shí)分析，例如Rezilion;或二進(jìn)制分析，如ReversingLabs。但SCA往往是那些構(gòu)建軟件供應(yīng)鏈解決方案堆棧或生態(tài)系統(tǒng)的供應(yīng)商的賭注。其中一些是SCA供應(yīng)商，他們通過內(nèi)部開發(fā)或收購(gòu)擴(kuò)展到下面描述的其他工具類別。其他公司可能從一開始就考慮到了開發(fā)人員的心態(tài)，包括混合供應(yīng)鏈工具中的SCA;Snyk就是一個(gè)很好的例子。Synopsys和ReversingLabs最近宣布了更多的合作伙伴關(guān)系，在不將客戶鎖定在單一平臺(tái)的情況下擴(kuò)大了供應(yīng)鏈安全能力。

(2)代碼掃描和滲透測(cè)試

保護(hù)軟件供應(yīng)鏈的核心是一個(gè)應(yīng)用程序安全問題，因此傳統(tǒng)的應(yīng)用程序安全代碼掃描工具將在這個(gè)解決方案堆棧中發(fā)揮重要作用。靜態(tài)應(yīng)用程序安全測(cè)試(SAST)、動(dòng)態(tài)應(yīng)用程序安全測(cè)試(DAST)、交互式應(yīng)用程序安全測(cè)試 (IAST)和運(yùn)行時(shí)應(yīng)用程序掃描保護(hù)(RASP)工具，以及明智地使用滲透測(cè)試，可以幫助企業(yè)測(cè)試他們自己的內(nèi)部代碼，并提供對(duì)第三方代碼的進(jìn)一步檢查，以作為應(yīng)對(duì)風(fēng)險(xiǎn)的后盾。Coalfire的Born說，“使用常見的SCA或SBOM測(cè)試工具和技術(shù)可能會(huì)檢測(cè)不到這些風(fēng)險(xiǎn)。”

他說，通過全面的代碼掃描來維持多層安全是至關(guān)重要的，滲透測(cè)試的抽查也是如此。

他說:“SCA和SBOM產(chǎn)品依賴于已知的、先前發(fā)現(xiàn)的漏洞，而徹底的應(yīng)用程序滲透評(píng)估可能會(huì)在檢查第三方庫(kù)和框架時(shí)識(shí)別出脆弱的代碼使用情況，而這些代碼以前可能在其他地方?jīng)]有報(bào)告過。”

(3)SBOM的豐富和聚集

當(dāng)企業(yè)創(chuàng)建他們自己的SBOM并從他們的供應(yīng)商那里攝取SBOM時(shí)，這些工件的聚合、豐富和管理將成為操作它們的一個(gè)日益重要的部分。例如，添加漏洞可利用性交換(VEX)信息將成為情景化SBOM的一個(gè)日益重要的部分。類似地，這些工具可以潛在地豐富SBOM信息的數(shù)據(jù)包括組件健康檢查，例如OpenSSF記分卡數(shù)據(jù)和CISA已知被利用漏洞(KEV)數(shù)據(jù)庫(kù)中的漏洞預(yù)測(cè)評(píng)分系統(tǒng)(EPSS)分?jǐn)?shù)。

此外，簡(jiǎn)單地匯總軟件組合和業(yè)務(wù)線中的SBOM信息將是網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者日益關(guān)注的問題。這仍然是一個(gè)新興的領(lǐng)域，尚未真正整合成行業(yè)分析師確定的類別，因此首席信息安全官必須在SCA+類型的工具、開源工具和新平臺(tái)中尋找這些功能，這些工具正在開辟他們自己的類別定義路徑。這些例子包括Cybellum、Anchore和Rezilion，以及Bomber等新的開源工具。

(4)機(jī)密管理

共享機(jī)密掃描和管理正在從一個(gè)獨(dú)立的工具類別快速轉(zhuǎn)變?yōu)橐粋€(gè)功能，該功能正在融入軟件供應(yīng)鏈安全工具的各個(gè)方面。這是因?yàn)樵陂_發(fā)和實(shí)際環(huán)境中，針對(duì)嵌入在源代碼、配置文件和基礎(chǔ)設(shè)施代碼中的機(jī)密數(shù)據(jù)的網(wǎng)絡(luò)攻擊活動(dòng)仍然猖獗，因此迫切需要解決這個(gè)問題。

Gartner公司在最近發(fā)布的一份報(bào)告中建議：“憑證文件、私鑰、密碼和API令牌等機(jī)密信息不應(yīng)提交給源代碼控制存儲(chǔ)庫(kù)。使用機(jī)密管理工具安全地存儲(chǔ)和加密，實(shí)施訪問控制，并管理秘密(即創(chuàng)建、輪換和撤銷)。”

這是一個(gè)基本的工具組件，因?yàn)榫W(wǎng)絡(luò)攻擊者可以利用共享的秘密來完全破壞企業(yè)軟件供應(yīng)鏈的完整性。

(5)依賴關(guān)系管理和映射

依賴關(guān)系管理和分析是另一個(gè)有點(diǎn)模糊的類別，與SCA和SBOM聚合等其他工具類別高度重疊。但這是值得呼吁的，因?yàn)樗|及了一些最棘手的軟件供應(yīng)鏈安全問題的核心。

安全倡導(dǎo)者對(duì)當(dāng)今SBOM狀態(tài)的一些最主要抱怨是，它們?nèi)匀浑y以傳達(dá)與列舉的軟件相關(guān)的可傳遞依賴關(guān)系。

首席信息安全官和他們的團(tuán)隊(duì)將需要更好的方法來規(guī)劃和管理隱藏的依賴關(guān)系網(wǎng)絡(luò)，這些依賴關(guān)系網(wǎng)絡(luò)橫跨他們的應(yīng)用程序、API、CI/CD管道組件和作為代碼的基礎(chǔ)設(shè)施。一些可用的工具包括依賴映射工具，性能和彈性利益相關(guān)者也依賴于這些工具，例如Datadog和Atlassian。此外，SCA和SBOM管理工具經(jīng)常將這些特性合并到它們的組合中。最近在這方面打入市場(chǎng)的一個(gè)值得注意的參與者是EndorLabs公司，該公司于2022年10月脫離隱身模式，將自己描述為“依賴生命周期管理”解決方案。上個(gè)月，該公司進(jìn)入了RSA大會(huì)創(chuàng)新沙盒的決賽。

(6)受信任的存儲(chǔ)庫(kù)和注冊(cè)中心

雖然工件存儲(chǔ)庫(kù)和容器注冊(cè)表本身不是安全工具，但是將它們與規(guī)范的策略和過程一起使用可以在管理供應(yīng)鏈風(fēng)險(xiǎn)中發(fā)揮重要作用。建立可信的工件存儲(chǔ)庫(kù)和容器注冊(cè)中心是為開發(fā)人員建立“安全護(hù)欄”基礎(chǔ)設(shè)施的基本部分。提供經(jīng)過批準(zhǔn)的組件的集中來源是一種主動(dòng)的方法，可以避免出現(xiàn)問題，并對(duì)進(jìn)入企業(yè)軟件的內(nèi)容進(jìn)行健全的治理。

Gartner公司的分析師寫道:“這些存儲(chǔ)庫(kù)是經(jīng)過批準(zhǔn)和審查的工件和軟件組件的可信來源。這實(shí)現(xiàn)了對(duì)軟件成分的集中管理、可見性、可審核性和可追溯性。”

(7)安全代碼簽名

隨著開發(fā)人員在其生命周期內(nèi)提交和部署軟件，代碼簽名正日益成為確保代碼和容器完整性的最佳實(shí)踐。這個(gè)過程不僅對(duì)于建立強(qiáng)大的內(nèi)部控制措施以防止篡改至關(guān)重要，而且對(duì)于建立客戶對(duì)交付給外部客戶的產(chǎn)品的信任也至關(guān)重要。當(dāng)然，代碼簽名證書是軟件供應(yīng)鏈攻擊者青睞的目標(biāo)，因此首席信息安全官及其團(tuán)隊(duì)需要確保他們選擇正確的工具并建立控制措施，以確保他們的代碼簽名過程真正安全。這一類別中的一些主要工具包括Garantir、Keyfactor、CircleCI、Cosign和Venafi。

(8)CI/ CD管道安全性

持續(xù)集成(CI)/持續(xù)(CD)交付管道是軟件“工廠”的一部分，開發(fā)人員依靠它來生產(chǎn)代碼，因此，它是整個(gè)供應(yīng)鏈的內(nèi)在組成部分。因此，加強(qiáng)這些環(huán)境的安全工具是健全的供應(yīng)鏈安全計(jì)劃的重要組成部分。已經(jīng)解決的機(jī)密管理問題是這個(gè)類別的一個(gè)重要方面。其他包括CI/ CD策略和治理管理，就像Apiiro和Cycode這樣的公司正在開發(fā)產(chǎn)品，以及實(shí)現(xiàn)良好的特權(quán)訪問控制和強(qiáng)身份驗(yàn)證。

(9)第三方風(fēng)險(xiǎn)管理平臺(tái)

到目前為止，大多數(shù)工具主要集中于深入挖掘內(nèi)部開發(fā)軟件中使用的第三方組件。但是，對(duì)于那些沒有太多可見性的第三方商業(yè)軟件怎么辦?這就是第三方風(fēng)險(xiǎn)管理(TPRM)工具和流程發(fā)揮作用的地方。即使SBOM要求在未來幾年內(nèi)競(jìng)相推動(dòng)軟件供應(yīng)商提高透明度，但目前大多數(shù)企業(yè)都很盲目。雖然TPRM風(fēng)險(xiǎn)評(píng)分工具(例如SecurityScorecard或RiskRecon)不能完全解決這個(gè)問題，但它們至少可以作為風(fēng)險(xiǎn)的代理，可能會(huì)讓企業(yè)確定他們需要與特定供應(yīng)商和軟件提供商合作，以深入挖掘他們的代碼。

德勤公司的Chand表示:“我認(rèn)為TPRM產(chǎn)品可以發(fā)揮作用的地方是，如果存在風(fēng)險(xiǎn)，我們能夠識(shí)別風(fēng)險(xiǎn)，也許這就是我真正希望將精力集中在SCA和理解軟件組成的原因。它成為了一種風(fēng)險(xiǎn)緩解技術(shù)，而不是我在生產(chǎn)或購(gòu)買的所有軟件中普遍使用的解決方案。”

她說，軟件供應(yīng)鏈安全領(lǐng)域仍然缺乏應(yīng)用安全風(fēng)險(xiǎn)和業(yè)務(wù)風(fēng)險(xiǎn)之間的可靠工具聯(lián)系，她認(rèn)為下一個(gè)重大創(chuàng)新機(jī)會(huì)可能在于供應(yīng)商和從業(yè)者如何將TPRM平臺(tái)和更廣泛的供應(yīng)鏈風(fēng)險(xiǎn)管理(SCRM)流程與來自SBOM和CI/CD管道的數(shù)據(jù)聯(lián)系起來。

(10)IaC安全和CNAPP

用于測(cè)試和部署代碼的底層基礎(chǔ)設(shè)施也是代碼，是供應(yīng)鏈的基本部分。因此，首席信息安全官應(yīng)該考慮至少將基礎(chǔ)設(shè)施即代碼(IaC)掃描和安全工具作為其更廣泛的供應(yīng)鏈安全計(jì)劃的一部分。這些工具傾向于跨越軟件供應(yīng)鏈安全工具和云原生應(yīng)用程序保護(hù)平臺(tái)(CNAPP)之間的界限，這可以說是開始進(jìn)入云安全和其他安全運(yùn)營(yíng)領(lǐng)域。但是云原生應(yīng)用程序保護(hù)平臺(tái)(CNAPP)提供了很多其他的供應(yīng)鏈安全支持，特別是在容器可見性和運(yùn)行時(shí)安全性方面。容器是軟件供應(yīng)鏈中主要的攻擊目標(biāo)，在運(yùn)行時(shí)采用的安全措施可以在工作負(fù)載進(jìn)入生產(chǎn)環(huán)境之后為其提供支持。