随着漏洞挖掘技术和攻击手段的不断发展,漏洞利用的门槛逐步降低,软件供应链攻击日益猖獗,原本存在的供应链脆弱性更加显现。攻击者通过在供应链上投放恶意代码、植入木马等方式,可更精准地实现定向威胁、信息窃取和勒索攻击等目的。近年来的多起安全事件进一步证明了软件供应链攻击的严峻态势,尤其是在国际形势复杂、供应关系高度敏感的背景下,供应链“武器化”已成为不可忽视的事实。基于供应链视角开展软件安全审查,不仅是满足安全合规的要求,更是保障国家数字经济高质量发展的重要支撑,亦是当前国情下必须落实的重要安全举措。
为帮助企业CSO更好地应对软件供应活动中的安全管理要求,安全牛基于应用安全领域的研究积累和厂商支持编写了《软件供应链安全能力构建指南(2024版)》报告,在报告研究过程中采用了问卷、访谈、产品演示,并结合了定量、定性及统计分析等研究方法。报告内容侧重于软件供应链安全能力建设的技术、工具和构建方法,希望通过有效的技术方案帮助企业CSO应对软件供应活动中的安全管理要求。报告于10月31日正式发布。
报告内容包括概述、国内外标准及应用现状等8个章节(如下图目录所示)。为帮助用户了解报告内容,本文从关键发现、系统架构、核心能力、建设建议、未来趋势5个部分对报告进行简单介绍。
关键发现
基于多方面调研,报告整理了8个关键发现:
- 调研数据显示,45%左右的调研者表示企业遭到过不同程度的软件供应链风险,半数以上企业表示同时遭受过两个及以上的风险影响。企业面临的软件供应链风险类型中,开源组件及漏洞风险仍是最突出的风险类型。
- 调研数据显示,90%以上企业认为软件供应链安全需要得到重视,并表示愿意为软件供应链安全能力建设提供一定的预算。但主动实施软件供应链安全加固的意愿并不高,主要受政策和事件驱动影响。
- 调研数据显示,落地建设中用户会更关注厂商的产品、方案、服务能力,在品牌影响力、创新能力方面的关注度相对较小。
- 调研结果显示,静态安全测试和DevSecOps敏感开发安全管理工具的采用比例较高,客户满意度也维持相对较高比例;SCA也有一定规模的应用,但满意度还尚有较大提升空间。
- 调研发现,目前阶段软件供应链安全能力建设过程中的挑战还较多。其中,网络环境、开发架构、开发者水平、市场监管、进度和安全协同、检测技术、跨组织协同、平台化管理、核心知识库是当前软件供应链安全能力建设的九个重要挑战。
- 安全牛认为,自动化编排、智能化将成为软件供应链安全产品未来的核心竞争力。同时,API安全、数据安全、隐私安全将成为漏洞之后软件供应链安全的一项重要任务,并且会成为实现数据安全和个人信息安全的有效抓手。
- 安全牛认为,云上开发、云上应用都在牵引着软件供应链安全向云原生安全方向发展,未来或将会和MDR、MSS一样成为云运营、可托管的安全服务。
- 调研数据显示,过去一年,软件供应链安全市场表现整体向好,国内市场规模接近10亿元人民币,增长率超过20%。其中,百人以上中型规模的专精厂商占据了50%以上的市场份额。
系统框架
软件供应链的风险暴露面大,其防护不能简单依赖某个技术或工具,需要从技术、工具、流程制度、教育培训等多方面开展综合治理。基于调研和研究,报告给出了构建软件供应链安全的系统框图(如下图所示),并建议软件供应链安全围绕人、流程、环境面临的风险进行全生命周期的安全检测和防护;同时,在不同阶段做好预防、检测、防护和处置等闭环管控措施。
本系统框图主要包括风险管理、AST工具、知识库三部分。安全牛认为这是软件供应链安全建设必不可少的三个组成部分。
AST检测工具
AST采集、识别软件源代码和应用软件的各类安全风险,是软件供应链风险识别和防护的基础。特别是黎巴嫩爆炸事件之后,也让我们进一步意识到:检测能力必须成为软件供应链安全的核心能力,是必须自己掌握的关键技术,并且要不断精进检测水平以对抗供应链的各类新型攻击。
风险管理
风险管理是数据处理和风险管理的多任务的综合管控平台,能对企业或项目中涉及的软件及其供应链风险进行统一处理、综合分析、可视化展示。它也是用户实施风险缓解的重要抓手。
知识库
知识库是安全经验知识的积累,能支撑风险识别、分析,提高风险监测和处置效率。充分利用知识库,不仅可以应对已知风险,还能有效预防未知风险。
核心能力
软件供应链是生态系统性问题,其安全问题需要生态链中的联盟、组织、开发者、供应商、采购单位共担、共建,需要管理手段和技术手段并用。为更好地理解软件供应链安全的核心能力,报告基于研究定义了软件供应链安全的七个核心能力,亦称软件供应链安全的“三梁四柱”。
建设建议
开展软件供应链安全可以减少软件漏洞、许可违规风险,全面提升网络的本质安全能力,也是势在必行的国家安全战略。为此,报告从六个方面给出了开展软件供应链安全建设的建议。
其中,软件供应链安全建设离不开产品和厂商服务,在寻求厂商支持时,安全牛建议从综合能力和技术能力两个方面进行评估。
- 在进行厂商能力评估时,应覆盖到细分领域的品牌能力、技术能力、产品化能力、方案应用能力和服务能力5个维度。
- 在进行技术能力评估时,建议平台、检测工具和知识库能力三方面进行识别。
未来趋势预测和展望
这部分内容包括市场规模预测和技术发展趋势两部分。
市场规模方面
过去一年软件供应链安全市场表现整体向好,报告对国内市场规模和增长率进行了预测(预测数据见报告全文)。整体呈现市场规模扩大,增长速率趋缓的态势。
报告预测,未来3年软件供应链安全将处于平稳增长态势,并给出了2026年市场规模的预测数据。
与此同时,全球的软件供应链安全市场也在快速增长。安全牛根据调研推测了2023年全球软件供应链安全市场规模和复合增长率,并预测了2030年的数据。
技术演进趋势方面
受风险态势、国际政策、市场需求和新兴技术影响,安全牛预测软件供应链安全技术将会有以下4个发展趋势:
1、软件供应链安全需要一体化管理,碎片化向集中化发展
单点的、离散式的管理难以应对软件供应链的全线风险挑战。与此同时,市场上检测工具类型相对完善,进一步为一体化管理提供了能力支撑。
2、自动化编排、智能化将成为未来软件供应链安全产品的核心竞争力
AST的初衷就是通过软件测试自动化提高测试效率并给予快速反馈,其工具本身就是对自动化依赖很高的一类产品。此外,软件供应链安全管理涉及诸多复杂的事务性活动,需要平台有非常好的业务灵活性、可靠性,进一步增加了对自动化、流程编排技术的依赖。
智能化方面,安全牛在调研中看到了AI大模型在软件供应链安全应用中取得的一些成果。包括在提高检测精度 、降低误报率、用主流的高级语言替代难以维护的源代码、对嵌入式目标代码反编译等方面都取得了很好的研究进展。
因此,安全牛认为,自动化编排、智能化将成为未来软件供应链安全产品的核心竞争力。
3、基于软件供应链安全开展API安全、数据安全、隐私安全将成为漏洞安全之后的主要任务
软件自身的脆弱性是造成漏洞利用、API风险、数据/隐私泄露的根本原因。这些问题只有回归到开发中去才能得到根本性的修复。就当前的安全政策来看,数据安全、API安全正在受到国家、行业的高度重视,安全牛预测基于软件供应链安全开展API安全、数据安全、隐私安全将成为漏洞安全之后的主要任务。
4、云原生化、服务化是软件供应链安全发展的必然方向。
随着云计算、云原生技术的广泛应用,云上的软件生态也越来越丰富。云上开发、云上应用都在牵引着软件供应链向云原生安全方向发展。软件供应链安全将更紧密地与云服务提供商联合,形成云到云、云到端的安全保障体系,未来或将会和MDR、MSS一样成为云运营的、可托管的安全服务。
我国软件供应链安全代表性厂商
本次报告以安全牛年度《中国网络安全企业100强》和《中国网络安全行业全景图》研究成果为基础,共调研国内软件供应链安全厂商17家,并对其中应用表现较好的10家代表性厂商进行了收录和推荐(排名不分先后,按公司简称首字母序展现)。
目前《软件供应链安全能力构建指南(2024版)》报告已经在安全牛商城上架预售,获取完整版本报告,请点击识别下方报告二维码。