解構(gòu)工業(yè)軟件供應(yīng)鏈，探索安全轉(zhuǎn)型之路

文｜徐 鋒 陳小賽 郝 婭

“十四五”時期及“后疫情時代”的今天，工業(yè)業(yè)務(wù)軟件供應(yīng)鏈安全事件不斷發(fā)生，安全問題更加復(fù)雜化、多元化，可能直接導(dǎo)致工業(yè)基礎(chǔ)設(shè)施癱瘓，帶來災(zāi)難性后果。當(dāng)前國內(nèi)普遍采買境外基礎(chǔ)工業(yè)業(yè)務(wù)軟件、開源軟件，其項目成分存在進(jìn)出口管制、知識產(chǎn)權(quán)、開源軟件漏洞等風(fēng)險，工業(yè)業(yè)務(wù)軟件供應(yīng)鏈安全問題日益凸顯。

基于上述現(xiàn)狀及對部分工業(yè)企業(yè)實(shí)際情況的調(diào)研，杭州孝道科技有限公司（以下簡稱“孝道科技”）以“解構(gòu)治理流程”為主導(dǎo)思路，為數(shù)字工業(yè)打造自主可控、安全可信的軟件供應(yīng)鏈安全體系，保障工業(yè)數(shù)字化安全轉(zhuǎn)型和安全運(yùn)行。

建構(gòu)先解構(gòu)，安全治理思路亦可“由面到點(diǎn)”

孝道科技經(jīng)過對工業(yè)業(yè)務(wù)軟件供應(yīng)鏈安全的系統(tǒng)分析、解構(gòu)和理解，將其安全賦能架構(gòu)劃分為準(zhǔn)入安全、內(nèi)部安全（安全開發(fā)一體化、全流程自動化、合規(guī)化）、準(zhǔn)出安全三大流程階段。以拆分流程、分段賦能的方式建立全方位的軟件供應(yīng)鏈安全能力體系，并將能力“調(diào)用”到工業(yè)生產(chǎn)體系內(nèi)，融合覆蓋，以增強(qiáng)原有工業(yè)業(yè)務(wù)軟件體系的安全能力。

圖1 軟件供應(yīng)鏈安全總體系架構(gòu)

準(zhǔn)入安全

根據(jù)孝道科技的軟件成分評估模型，對所引入的軟件項目進(jìn)行各個維度的數(shù)據(jù)采集，得出評估業(yè)務(wù)系統(tǒng)的綜合評分。協(xié)助開發(fā)和安全人員對工業(yè)業(yè)務(wù)軟件供應(yīng)鏈產(chǎn)品以及供應(yīng)商進(jìn)行相對優(yōu)質(zhì)的選擇，同時輔助安全人員對組件的安全性進(jìn)行溯源。

由于我國基礎(chǔ)工業(yè)業(yè)務(wù)軟件項目主導(dǎo)能力不足，存在開源斷供風(fēng)險、代碼安全風(fēng)險、知識產(chǎn)權(quán)風(fēng)險以及自主創(chuàng)新風(fēng)險。孝道科技認(rèn)為，在準(zhǔn)入安全的建設(shè)和賦能中尤其要重視開源成分的安全采買、安全使用和安全退出。

例如在與某電網(wǎng)公司數(shù)字電力合作項目的實(shí)際落地過程中，采用孝道科技——安全玻璃盒軟件成分分析（SCA），完成對該數(shù)字項目開發(fā)的開源供應(yīng)商健康度評估，對軟件自研成分產(chǎn)權(quán)分析，保障了該數(shù)字項目自身的自主可控性；此外，利用該工具準(zhǔn)確識別軟件中的開源成分以及代碼安全性，為安全評估提供重要的參考數(shù)據(jù)，同時也提高了項目代碼的自主水平。

內(nèi)部安全

圖2 軟件成分評估模型

DevSecOps落地。DevSecOps的核心理念是安全需要貫穿開發(fā)和運(yùn)營整個業(yè)務(wù)生命周期的每一個環(huán)節(jié)才能提供有效保障，必須實(shí)現(xiàn)安全與業(yè)務(wù)流程的良好整合。工業(yè)業(yè)務(wù)軟件供應(yīng)鏈體系建設(shè)運(yùn)用DevSecOps理念實(shí)踐作為貫穿思路，可打破傳統(tǒng)安全門禁，實(shí)現(xiàn)軟件供應(yīng)鏈全鏈路的多維、全面安全保障。在DevSecOps落地中使用孝道科技——安全玻璃盒交互式應(yīng)用安全測試系統(tǒng)（IAST）完成安全測試后，可以直接輸出可視化安全測試報告。報告為開發(fā)人員精確定位漏洞具體位置及相關(guān)信息，還能提供專業(yè)的安全修復(fù)建議，幫助開發(fā)人員快速地完成問題定位及漏洞修復(fù)。

安全開發(fā)一體化。傳統(tǒng)工業(yè)業(yè)務(wù)軟件開發(fā)流程中對安全考量不夠全面，采取的安全行為多屬于“門禁式”，無法實(shí)現(xiàn)軟件開發(fā)的全生命周期安全覆蓋。該模塊以“安全左移”為核心理念，讓安全覆蓋工業(yè)業(yè)務(wù)軟件開發(fā)的需求、設(shè)計、研發(fā)、驗(yàn)證、發(fā)布、運(yùn)營的全生命周期，能夠減少安全威脅以降低安全成本，全方位提升工業(yè)數(shù)字業(yè)務(wù)的安全性及項目人員安全能力，為數(shù)字工業(yè)業(yè)務(wù)系統(tǒng)的實(shí)現(xiàn)提供更完善的安全賦能。

全流程自動化。DevOps是現(xiàn)今工業(yè)業(yè)務(wù)軟件開發(fā)的主流模式，故體系建設(shè)的各個模塊以及各個技術(shù)工具需要安全無縫集成DevOps ，又能實(shí)現(xiàn)安全解耦；安全原子能力的檢測升級、擴(kuò)展、更新，無需調(diào)整或影響研發(fā)流水線。

合規(guī)化。孝道科技在體系建設(shè)的落地中，會結(jié)合各項安全合規(guī)管理制度及標(biāo)準(zhǔn)，幫助建設(shè)和改善工業(yè)業(yè)務(wù)軟件應(yīng)用安全合規(guī)管理體系，實(shí)現(xiàn)對安全合規(guī)的管理，幫助工業(yè)企業(yè)規(guī)避合規(guī)風(fēng)險。同時幫助工業(yè)企業(yè)建設(shè)好安全組織體系、安全管理體系和安全技術(shù)體系的全面安全保障體系。

準(zhǔn)出安全

在準(zhǔn)入安全的基礎(chǔ)上將重點(diǎn)落在軟件上線前安全檢測以及上線后運(yùn)行時安全檢測與防護(hù)、應(yīng)急響應(yīng)體系建設(shè)等。應(yīng)用孝道科技——安全玻璃盒“All in one”一體化平臺ASTP，通過正常業(yè)務(wù)使用同步無感知地完成對工業(yè)數(shù)字應(yīng)用及所引用的三方組件進(jìn)行漏洞檢測和漏洞定位。當(dāng)發(fā)現(xiàn)漏洞或遇到異常攻擊時，根據(jù)IAST輸出的漏洞風(fēng)險元數(shù)據(jù)和動態(tài)執(zhí)行指紋，立即自動激活免疫防御能力，實(shí)現(xiàn)IAST技術(shù)和RASP技術(shù)的有效智能結(jié)合，讓數(shù)字應(yīng)用具備事前主動、全面、精確的代碼免疫防御能力。幫助工業(yè)企業(yè)實(shí)現(xiàn)“安全左移”的同時，讓安全覆蓋工業(yè)業(yè)務(wù)軟件活動的所有階段。

完善安全治理，助推數(shù)字化轉(zhuǎn)型

未來全球工業(yè)信息化程度將越來越高，相應(yīng)的風(fēng)險也進(jìn)一步提升。助力工業(yè)企業(yè)建設(shè)貼身的、動態(tài)的、可持續(xù)性業(yè)務(wù)軟件供應(yīng)鏈安全體系，是工業(yè)業(yè)務(wù)軟件供應(yīng)鏈安全治理的主要目標(biāo)，也是我國數(shù)字化安全轉(zhuǎn)型的必由之路。

孝道科技作為軟件供應(yīng)鏈安全解決方案提供商，會繼續(xù)探索自動化程度更高、易用性更優(yōu)的產(chǎn)品和安全解決方案，積極參與國、省級開發(fā)安全相關(guān)標(biāo)準(zhǔn)、規(guī)范編制，助力工業(yè)企業(yè)實(shí)現(xiàn)軟件供應(yīng)鏈安全治理。