本文为安全知识图谱技术技术白皮书《践行安全知识图谱,携手迈进认知智能》精华解读系列第七篇,介绍了知识图谱相关技术如何在软件供应链安全领域应用。
01软件供应链安全的兴起与挑战
随着软件技术的飞速发展和软件开发技术的不断进步,软件开发和集成过程中常会应用第三方软件产品或开源组件,其供应链中软件的安全性和可靠性逐步成为软件产业面临的重要安全问题。近年来大量涌现的软件供应链安全事件则具有不同的特点,攻击软件供应链相较于攻击软件本身,难度和成本显著降低,影响范围一般显著扩大,并且由于攻击发生后被供应链上的多次传递所掩盖,难以被现有的计算机系统安全防范措施识别和处理。如Xcode非官方版本恶意代码污染事件、远程终端管理工具Xshell后门事件、开源组件Fastjson反序列化漏洞等,主要体现在针对开发工具的污染、源代码污染、预留后门、捆绑下载、软件漏洞等方面。
我们对软件供应链安全的关注由来已久,2020年爆发的SolarWinds供应链遭受APT攻击事件,是典型的软件供应链攻击案例。2021年2月美国总统拜登签署行政令,为包括信息技术在内的商品构建更安全的供应链,将软件供应链安全推进公众视野。我国对于软件供应链安全的法规和标准也在日趋完善中,《信息安全技术 信息技术产品供应方行为安全准则》(GB/T 32921-2016)约束了供方的安全要求,由中国信息安全测评中心牵头的《信息安全技术 软件供应链安全要求》也在编制阶段,对供需双方的安全要求进行约束。由此可见软件供应链安全的重要性。
与传统软件安全相比,软件供应链面临的安全风险不断加大,因其遭受破坏而引发的网络安全事件愈演愈烈。第一,软件供应链攻击面由软件产品本身的漏洞扩大为上游供应商的软件、组件和服务漏洞,任何一个上游阶段的漏洞都将影响下游所有软件,导致整个软件供应链遭受的攻击面不断扩大