一、背景
随着云计算、5G、大数据、AI人工智能、物联网等新技术的快速发展,万物皆可互联的智能时代已经到来。软件定义一切带来数字世界快速发展的同时也带来了软件供应链的安全威胁和风险,为网络安全提出了新的考验和课题。
Gartner分析指出,“到2025年,全球45%组织的软件供应链将遭受攻击,比2021年增加了三倍。”2021年12月,Apache Log4j2组件被爆出存在远程代码执行漏洞(CVE-2021-44832),该漏洞导致全球所有使用了该组件的应用系统均面临严重威胁。近年来,中兴、华为事件的发生也警示我们软件供应链中断导致关键信息基础设施无法正常运行的风险是存在的。通过每年的攻防实战演练和真实攻击事件也可以看到,利用开源组件或者其他上游软件0day漏洞直接攻击导致关键信息基础设施和重要网络被突破的案例层出不穷。
面对软件供应链安全威胁和风险,针对供应链安全的法律法规和标准逐步出台。《中华人民共和国网络安全法》第三十五条“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查”和第三十六条“关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任”,分别从网络安全审查、网络产品和服务安全角度对供应链安全提出要求。软件自身安全和软件供应链安全将在未来成为网络合规安全和业务安全的重要组成部分。