超60%的金融行業代碼庫存在漏洞！奇安信提出五大建議三項舉措

　　“97％的金融服務/金融科技行業代碼庫包含開源，其中超過60％的代碼庫存在漏洞。”根據公開數據顯示，金融行業的軟件供應鏈安全形勢十分嚴峻，從源頭解決軟件開發安全問題、實現安全左移勢在必行。

　　供應鏈安全風險繁雜 涵蓋技術、管理等多個環節

　　近年來，國內外供應鏈安全事件屢見不鮮，例如大家所熟知的SolarWinds事件等，導致包括美國關基、軍隊、政府在內的18000多家客戶全部受到影響，成為年度最嚴重的供應鏈安全事件。在國內，部分軟件供應商在開發過程中缺少安全活動，或供應商自身存在網絡安全缺陷，進而導致的源代碼泄露、運維權限泄露，直接影響了最終用戶的引用系統安全性。

　　軟件供應鏈安全影響重大，各國紛紛推行政策法規推動軟件供應鏈安全保護工作。2021 年 5 月 12 日，美國總統拜登簽署發布《改善國家網絡安全行政令》，明確提出改善軟件供應鏈安全，要求構建更有彈性且安全的軟件供應鏈環境，確保美國的國家安全。同年 7 月，美國國家標準與技術所（NIST）發布《開發者軟件驗證最低標準指南》，進一步為加強軟件供應鏈安全加碼。

　　我國對軟件供應鏈安全問題也給予了高度重視，除了等保2.0等標準要求之外，今年有多個重點行業推出針對供應鏈安全的詳細工作要求。

　　奇安信安全專家認為，供應鏈的安全風險很繁雜，這些風險來自軟件開發、集成交付、運維運營等環節，也可能來自提供咨詢、系統集成、運維測評等服務的服務商。這些風險大體上可以歸納成兩個大類，第一類是軟件產品本身的安全隱患，例如開源組件缺陷、軟件漏洞等；第二類是軟硬件產品服務提供商自身存在的安全隱患，例如重要系統端口暴露、弱口令、人員權限管理不善等。攻擊者可以利用上述的兩類隱患，通過植入、替換、源代碼分析、跳板攻擊等手法，實現對應用系統的攻擊。

　　供應鏈安全建設涉及企業和組織內的多個部門，除了網絡安全部、項目建設、運維運營、質量管理等部門外，還涉及供應商管理、商務采購等部門。同時供應鏈安全建設也涉及管理制度、管理流程的設計和落地。

　　五大建議三項舉措 幫助重點行業應對供應鏈安全風險

　　結合上述背景，國家多個行業監管部門近期提出了對供應鏈安全風險的警示，并作出了工作部署和工作要求。針對供應鏈安全風險，奇安信總結了以下五個方面的建設意見。

　　第一是增強自身的風險防范意識，提高對供應鏈安全關注。組織內部相關部門學習供應鏈安全知識，了解軟件供應鏈風險。建設涵蓋代碼檢測、開源檢測、軟件成分分析、軟件行為分析、滲透測試在內的安全檢測能力，并以上述檢測能力，支持風險評估和審計工作。

　　第二是明確供應鏈安全責任部門和流程。這里既要明確供應鏈安全的核心責任部門，也需要明確相關部門的責任。同時根據自己的業務特點和既有的業務流程，制定供應鏈安全的管理制度、管理流程和應急響應預案。

　　第三是建立供應商安全評估能力體系，建立開源組件檢測能力和開源情報系統。供應商安全評估能力體系至少包括了兩部分的內容，一個是供應商安全能力要求，另一個是供應商安全審查的機制。特別是要求供應商建設開源組件分析能力，能提供開源組件臺賬和開源風險情報，以及開源漏洞響應機制、漏洞修補的能力。

　　第四是建設軟件安全開發體系。在執行開發軟件系統和由供應商定制開發軟件系統兩個場景內，開發團隊應結合實際的開發流程，參考軟件安全開發的模型與最佳實踐，在開發流程中引入響應的安全活動。這些安全活動包括但是不限于安全需求分析、安全特性設計、安全編碼規范、安全測試、安全交付、安全運行等環節。這個過程中應重點關注開源組件的引入和管理，以及長期的漏洞檢測機制建設、安全事件響應機制建設。

　　第五是督促供應商加強自身的網絡安全建設。供應商應按照甲方要求，或參考等級保護等安全標準，建設建全自身的網絡安全管理機制和技術體系。防止供應商自身的信息安全隱患威脅到最終用戶的安全性。

　　針對廣大客戶在供應鏈安全領域遇到的安全問題，奇安信可以為客戶提供以下三類服務。

　　首先是咨詢規劃服務。奇安信結合自身的供應鏈安全實踐以及對監管政策的理解，和客戶一起，結合客戶的具體業務，為客戶打造符合自身實際情況的供應鏈管理制度、管理流程。包括供應商安全要求、供應商準入制度、供應商安全檢查制度、安全開發流程制度、安全編碼規范、供應鏈安全響應機制等。

　　其次是供應鏈安全相關能力。這其中包括源代碼審計能力、開源組件審計能力、開源漏洞情報、滲透測試能力、軟件安全分發、運行環境加固、權限管理、供應鏈安全攻防等，更廣泛的安全能力還包括為供應商建設完整的網絡安全體系。

　　最后是供應鏈安全相關標準和體系的落地。隨著未來供應鏈相關標準的推出，奇安信也希望能與軟件開發方、使用方一起，打造支持相關標準和流程的具體落地的業務系統，例如安全開發管理平臺、開源管理平臺、供應鏈安全管理平臺等。

　　“在網絡空間對抗不斷升級、數字化加速轉型、國家戰略推動、開源代碼被普遍使用的情況下，軟件供應鏈安全建設是大勢所趨。”此前，奇安信解決方案中心高級總監金多表示。接下來，奇安信愿意與軟件使用方、開發商、服務商一起，結合行業背景與實際業務情況，遵照標準要求，助力金融等行業客戶共同打造更安全的軟件供應鏈體系。

   【免責聲明】本文僅代表合作供稿方觀點，不代表和訊網立場。投資者據此操作，風險請自擔。