本刊记者 王 超
AI智能时代,软件定义万物,数字技术已逐渐成为支撑社会正常运转的最基本元素之一。随着软件开发过程中开源应用的日趋普及和大范围应用,开源应用事实上逐渐成为数字技术开发的核心基础设施,混源开发也已成为主流的数字应用开发交付方式,数字供应链的安全问题也已被上升到基础设施安全和国家安全的高度来对待。
数字应用开源化,导致影响数字供应链的各个环节都不可避免受到开源应用风险的影响。尤其是开源应用的安全性问题,将直接影响采用开源应用的相应数字供应链的安全。除了应用开发者因疏忽和不重视导致的开源应用安全漏洞、代码缺陷和软件许可合规风险,还可能存在其他安全风险,比如具有非法目的的开发者故意预留的开源应用安全后门,甚至还有恶意攻击者伪造的含有隐藏性恶意功能的异常行为代码被故意上传到上游开源代码托管平台,实施定向软件供应链投毒攻击等。上述开源应用中存在的众多安全问题,导致数字供应链的安全隐患大大增加,安全形势更加严峻。加快落地数字供应链安全治理工作迫在眉睫。企业亟须从各个层面建立数字供应链安全风险的多种能力,整体提升数字供应链安全管理的水平。
在近期举办的2023数字供应链安全大会(DSS 2023)中,悬镜安全创始人兼CEO、DSS大会执行主席子芽在业界首次讲述了数字供应链的新变化,定义数字供应链安全的新内涵,同时重点发布并解读中国首个数字供应链SBOM格式(DSDX)。同时,他还推出“用开源的方式做开源风险治理”理念,将已经商业化的源鉴SCA开源威胁管控平台进行开源,打造全球首个开源数字供应链安全社区——OpenSCA开源社区,并基于此,从代码疫苗补丁防御、开源威胁情报、全链路SBOM追踪以及社区生态共建四个方向,赋能企业用户从源头保障开源数字供应链安全。
近日,记者与子芽围绕数字供应链安全的特性、开源技术生态、数字供应链安全检测防御方法和技术研究等内容进行了详细的沟通和探讨。
数字时代,万物可编程,数字技术是新一代信息技术的灵魂。“数字应用正成为社会运转的基本组件”“现代应用都是组装的而非纯自研”是数字应用的两个安全共识。子芽认为,进入数智时代,数字技术成为新一代信息技术的灵魂,云服务、IT托管服务等颠覆了传统产品供应关系,正成为数字经济发展的基础设施。同时,有数据表明当前平均每个数字应用的开源成分都接近78%~90%,混源开发成为主要模式,开源风险治理的迫切性愈发重要。
随着数字时代的到来,我们熟知的软件供应链正向数字供应链跃迁式演进,溯其根源,主要在以下四个方面发生着深刻的变化:一是在数字应用编程开发方式上,正从闭源开发向内源开发和混源开发演进;二是在应用协作发布方式上,正从瀑布式开发向敏捷开发和DevOps研运一体化演进;三是在应用架构设计上,正从单体应用向微服务和Serverless架构演进;四是在基础设施运行环境上,正从物理机向虚拟化和容器化演进。
子芽对数字供应链的定义,其意在梳理数字时代之下供应链的全新关系,以及进一步明确网络安全发展演进,即从软件产品或服务到数字应用,数字供应链定义扩大了原有软件供应链的内涵,其将数字应用、基础设施服务、供应链数据统一规划到数字供应链组成当中,这也是业内首次明确数字供应链的组成。基于此,数字应用安全、基础设施服务安全、供应链数据安全即成为数字供应链安全的重点内容。
子芽认为数字供应链安全的三大关键特性,分别是共生自进化、内生自免疫、敏捷自适应。其中,共生自进化对应为业务发展与安全建设共生,延伸为开源、内源和混源共生发展,研发、安全和运营角色在决策上共担安全风险;内生自免疫对应为防御前置,用安全左移的方法实现源头风险治理,并以威胁模拟实现持续安全度量;敏捷自适应对应为敏捷适应业务增长和迭代,使安全和业务融合又解耦,并适应基础设施环境变化,随时灵敏响应内外部威胁和风险。
随着信息技术的发展,包括新技术(数字技术)、新发布(开发方式)、新架构(应用构架)、新环境(基础设施)的变化,已促进供应链产生跃迁式变化,传统软件供应链的内涵需扩大为数字供应链,需要将数字应用、基础设施服务、供应链数据统一规划到供应链当中,这是业内首次明确数字供应链的组成。基于此,数字应用安全、基础设施服务安全、供应链数据安全即成为数字供应链安全的重点内容。
站在数字供应链安全全流程治理与运营的视角,子芽将整个数字供应链安全划分为“供应链引入、生产链、供应链交付运营”三大环节。对应由ASOC、SBOM、TMA、SAST、SCA、IAST、DRA、RASP、PTE等技术手段予以支撑。子芽强调称,在整个过程中敏捷安全将是未来的主要趋势,其中SBOM也是数字供应链安全的关键部分。
子芽指出,SBOM即软件物料清单是建立数字供应链的安全基线,将在辅助安全设计评审、交叉安全测试和动态发布等环节发挥重要作用。大会上,子芽发布了中国首个数字供应链SBOM格式——DSDX(Digital Supply-chain Data Exchange)。DSDX由OpenSCA社区主导发起,汇聚权威研究机构、甲方客户、安全厂商力量共同适配中国企业实战化应用场景。
子芽表示,中国首个数字供应链安全格式(DSDX)将以企业级实战化应用作为实践,其目标是成为数字供应链安全治理与运营的核心技术抓手,以助力行业从软件供应链安全过渡到数字供应链安全时代。国内首个自有SBOM格式——DSDX v1.0的核心特点包括全场景覆盖、强大兼容性、供应链数据溯源和强大的自身安全性。其中,全场景覆盖是指涵盖源码、二进制、镜像等不同阶段的物料清单,对组件、漏洞、许可证风险全面覆盖;强大兼容性是指兼容SPDX、CycloneDX、SWID国际标准和国内标准,但不止于主流规范,在最小元素集基础上扩展其他元素;供应链数据溯源是指涵盖数字供应链流转信息、可追溯文件、组件,依赖的过程变化及其来源,保证SBOM的修改全程可追溯;强大的自身安全性是指物料清单本身满足机密性要求和完整性要求,具备真实性校验、防篡改等保护机制。
开源将引领未来包括人工智能创新在内的数字经济发展。在国内,特别是在信创领域,绝大多数的软件和硬件都是依托于开源的力量来构建未来发展的基石。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。其中,开源软件的安全问题尤其值得关注。
开源的本质是群智创新和共生进化,子芽再次强调了开源的重要性,并着重指出面对着不确定性的未来,开源的群智创新模式将是数字供应链发展的力量源泉。软件成分分析(Software Composition Analysis,SCA)作为数字供应链安全管理入口,管控数字供应链在引入、生产、分发、交付环节全流程数字资产的安全风险;同时结合供应链安全情报,进行数字供应链组件资产的持续性风险评估和紧急漏洞事件的快速响应;再根据清单进行物料成分一致性确认和开源风险治理,帮助建立DevSecOps敏捷安全体系和SDL安全开发体系;同时输出透明化的数字应用组件资产及风险清单,针对性建立安全可信的SBOM库。
SCA技术作为数字供应链开源治理的关键入口,有着全新的内涵:一是源码级SCA特别是代码片段级同源检测技术在代码自研率分析、全球开源风险溯源等场景有越来越多的应用;二是二进制SCA凭借直接分析制品成分及风险,正成为供应链安全审查的关键技术;三是运行时SCA凭借精准识别数字应用运行加载时真正使用到的第三方组件及依赖,在应用测试和常态化安全运营场景有着更广泛的应用;四是以DSDX为代表的SBOM作为数字供应链安全治理的重要抓手,将在整个供应链引入、生产、交付等关键环节的开源治理实践中发挥着重要作用;五是供应链安全情报特别是开源治理情报和供应链投毒情报的应用将极大程度提升开源治理的先发性和实效性,许可证合规治理在业务出海和国内监管合规治理上开始受到行业越来越高的重视。
子芽强调,源码SCA、二进制SCA、运行时SCA被视为SCA的三大关键技术能力,悬镜安全的OpenSCA技术正因为具备以上三大关键能力,才能更好地为数字供应链提供安全保障。
另外,子芽还全面分享了OpenSCA社区历年的发展和成长,包括社区的重要动作、开源项目的技术沉淀和获得的一系列荣誉等。同时他还分享了OpenSCA的技术生态,包括可分别独立使用的OpenSCA-cli、OpenSCA SaaS、源鉴SCA企业版以及共享的关键技术引擎,也进一步地介绍了丰富的插件生态,以及新近开放的多数据源比对能力和多格式漏洞库支持能力等关键特性。据子芽表述,OpenSCA已具有鲜明的自身特色和能力,在行业内处于领先地位。此外,子芽又介绍了基于OpenSCA开源社区和开源项目目前正在进行的工作,其中代码疫苗补丁防御、开源威胁情报、全链路SBOM追踪以及持续的社区生态共建是四个主要方向,进而用开源的力量,从源头护航数字供应链安全。
总体来说,数字供应链安全管理是一个系统工程,亟须从国家、行业、机构、企业各个层面建立整个数字供应链安全风险的发现能力、分析能力、处置能力、防护能力,整体提升数字供应链安全管理的水平。为此,需要开展全方位的数字供应链安全检测防御方法和技术研究。
第一,开展代码疫苗技术在数字供应链积极防御体系中的应用研究,实现相关重大技术在0DAY漏洞防御、API挖掘分析、代码疫苗热补丁等难点技术上的突破,解决下一代数字免疫体系在出厂自免疫、敏捷自适应、共生自进化等关键特性上的技术瓶颈。
第二,开展软件成分动态分析及开源应用缺陷智能检测技术研究,突破高效高准确性的开源应用安全缺陷动态检测技术的瓶颈,解决基于全代码遍历和代码片段级克隆技术比对的应用安全检测难题,进一步实现对全球开源应用的全面安全检测,从源头堵住数字供应链安全隐患的发生。
第三,建立全球开源应用的传播态势感知和预警机制,攻克数字供应链中软件来源多态追踪技术,实现对供应链各环节中软件成分来源的溯源机制。通过软件成分来源多态追踪技术监控开源应用的使用传播和分布部署态势,全面把握有缺陷的开源应用传播和使用渠道,实现对全球开源应用及其安全缺陷的预测预警。
第四,建立国家级、行业级软件供应链安全监测与管控平台,具备系统化、规模化的软件源代码缺陷和异常行为代码分析、软件漏洞分析、开源软件成分及风险分析等关键能力,为关键基础设施、重要信息系统用户提供日常的自查服务,及时发现和处置软件供应链安全风险。
第五,严格管控数字供应链上游,尤其是重点管控开源应用的使用,积极推动代码疫苗、SBOM和智能威胁建模等新技术和标准在数字供应链安全领域的推广和应用,从根本上提供数字供应链安全的可靠保障。
作为国内数字供应链安全和DevSecOps敏捷安全的技术引领者和产业实践主要推动力量,我和悬镜安全团队致力于结合自身多年来在前沿技术创新研究和行业应用实践方面的沉淀,对数字供应链安全治理与运营进行系统性梳理,并分享我们这些年在不同典型用户场景探索的落地实践经验。因此,无论是沉淀我们创新技术研究与全球敏捷安全应用实践经验的《DevSecOps敏捷安全》书籍的应运而生,还是承载我们推动生态交流分享与引领产业创新发展意愿的“DSS数字供应链安全大会”以及“DSO敏捷安全大会”的持续举办,其根本目的在于为产业搭建一个汇集“国家、行业、机构、企业及教育”等综合力量且“同向、同心”的数字供应链安全保障生态体系。
科学无国界,但科学家有祖国,中国数字供应链的安全治理与运营不仅需要全球技术创新力量的共同实践探索,更需要中国产业生态携手共建。以开源为代表的技术文化,已经在开发者社区群体中生根发芽,紧紧将数字供应链新技术、新业态、新模式关联在一起。悬镜安全将持续以更包容的心态,更开放的视野,积极拥抱数字供应链生态用户及伙伴,知行合一守护中国数字供应链安全。