解构工业软件供应链，探索安全转型之路

文｜徐 锋 陈小赛 郝 娅

“十四五”时期及“后疫情时代”的今天，工业业务软件供应链安全事件不断发生，安全问题更加复杂化、多元化，可能直接导致工业基础设施瘫痪，带来灾难性后果。当前国内普遍采买境外基础工业业务软件、开源软件，其项目成分存在进出口管制、知识产权、开源软件漏洞等风险，工业业务软件供应链安全问题日益凸显。

基于上述现状及对部分工业企业实际情况的调研，杭州孝道科技有限公司（以下简称“孝道科技”）以“解构治理流程”为主导思路，为数字工业打造自主可控、安全可信的软件供应链安全体系，保障工业数字化安全转型和安全运行。

建构先解构，安全治理思路亦可“由面到点”

孝道科技经过对工业业务软件供应链安全的系统分析、解构和理解，将其安全赋能架构划分为准入安全、内部安全（安全开发一体化、全流程自动化、合规化）、准出安全三大流程阶段。以拆分流程、分段赋能的方式建立全方位的软件供应链安全能力体系，并将能力“调用”到工业生产体系内，融合覆盖，以增强原有工业业务软件体系的安全能力。

图1 软件供应链安全总体系架构

准入安全

根据孝道科技的软件成分评估模型，对所引入的软件项目进行各个维度的数据采集，得出评估业务系统的综合评分。协助开发和安全人员对工业业务软件供应链产品以及供应商进行相对优质的选择，同时辅助安全人员对组件的安全性进行溯源。

由于我国基础工业业务软件项目主导能力不足，存在开源断供风险、代码安全风险、知识产权风险以及自主创新风险。孝道科技认为，在准入安全的建设和赋能中尤其要重视开源成分的安全采买、安全使用和安全退出。

例如在与某电网公司数字电力合作项目的实际落地过程中，采用孝道科技——安全玻璃盒软件成分分析（SCA），完成对该数字项目开发的开源供应商健康度评估，对软件自研成分产权分析，保障了该数字项目自身的自主可控性；此外，利用该工具准确识别软件中的开源成分以及代码安全性，为安全评估提供重要的参考数据，同时也提高了项目代码的自主水平。

内部安全

图2 软件成分评估模型

DevSecOps落地。DevSecOps的核心理念是安全需要贯穿开发和运营整个业务生命周期的每一个环节才能提供有效保障，必须实现安全与业务流程的良好整合。工业业务软件供应链体系建设运用DevSecOps理念实践作为贯穿思路，可打破传统安全门禁，实现软件供应链全链路的多维、全面安全保障。在DevSecOps落地中使用孝道科技——安全玻璃盒交互式应用安全测试系统（IAST）完成安全测试后，可以直接输出可视化安全测试报告。报告为开发人员精确定位漏洞具体位置及相关信息，还能提供专业的安全修复建议，帮助开发人员快速地完成问题定位及漏洞修复。

安全开发一体化。传统工业业务软件开发流程中对安全考量不够全面，采取的安全行为多属于“门禁式”，无法实现软件开发的全生命周期安全覆盖。该模块以“安全左移”为核心理念，让安全覆盖工业业务软件开发的需求、设计、研发、验证、发布、运营的全生命周期，能够减少安全威胁以降低安全成本，全方位提升工业数字业务的安全性及项目人员安全能力，为数字工业业务系统的实现提供更完善的安全赋能。

全流程自动化。DevOps是现今工业业务软件开发的主流模式，故体系建设的各个模块以及各个技术工具需要安全无缝集成DevOps ，又能实现安全解耦；安全原子能力的检测升级、扩展、更新，无需调整或影响研发流水线。

合规化。孝道科技在体系建设的落地中，会结合各项安全合规管理制度及标准，帮助建设和改善工业业务软件应用安全合规管理体系，实现对安全合规的管理，帮助工业企业规避合规风险。同时帮助工业企业建设好安全组织体系、安全管理体系和安全技术体系的全面安全保障体系。

准出安全

在准入安全的基础上将重点落在软件上线前安全检测以及上线后运行时安全检测与防护、应急响应体系建设等。应用孝道科技——安全玻璃盒“All in one”一体化平台ASTP，通过正常业务使用同步无感知地完成对工业数字应用及所引用的三方组件进行漏洞检测和漏洞定位。当发现漏洞或遇到异常攻击时，根据IAST输出的漏洞风险元数据和动态执行指纹，立即自动激活免疫防御能力，实现IAST技术和RASP技术的有效智能结合，让数字应用具备事前主动、全面、精确的代码免疫防御能力。帮助工业企业实现“安全左移”的同时，让安全覆盖工业业务软件活动的所有阶段。

完善安全治理，助推数字化转型

未来全球工业信息化程度将越来越高，相应的风险也进一步提升。助力工业企业建设贴身的、动态的、可持续性业务软件供应链安全体系，是工业业务软件供应链安全治理的主要目标，也是我国数字化安全转型的必由之路。

孝道科技作为软件供应链安全解决方案提供商，会继续探索自动化程度更高、易用性更优的产品和安全解决方案，积极参与国、省级开发安全相关标准、规范编制，助力工业企业实现软件供应链安全治理。