新思科技：軟件供應鏈風險管理將是軟件安全發展重要趨勢

【環球網報道 記者 張陽】當前，以數據、數字技術等為關鍵要素的數字經濟正成為推動全球經濟發展的新動能。中國信通院發佈的《中國數字經濟發展白皮書（2021）》報告顯示，2020年我國數字經濟依然保持高速的發展態勢，規模達到39.2萬億元，較上年增加3.3萬億元，佔GDP比重為38.6%，同比提升2.4%，對GDP貢獻明顯，有效支撐疫情防控和經濟社會發展。預計2022年我國數字經濟增加值規模將達48.9萬億元。

軟件既是製造強國、網絡強國、數字中國建設的關鍵支撐，又是系統、業務能夠安全運行、可靠運行的根本。開源組件是軟件供應鏈重要組成部分。大部分軟件應用開發會使用到開源組件，與開源軟件相關的依賴關係極其複雜。

據新思科技發佈的《2022年開源安全和風險分析》報告（OSSRA），強調了在商業和專有應用程序中使用開源的趨勢，並提供了見解，以幫助開發人員更好地瞭解他們所處的互聯軟件生態系統，同時還詳細地介紹了非託管開源所帶來的安全隱患，包括安全漏洞、過期或廢棄的組件以及許可證合規性問題。該報告調研了17個行業，其中計算機硬件和半導體、網絡安全、能源與清潔技術，以及物聯網這四個行業被審計的代碼庫中100%包含開源組件。其餘的垂直行業的代碼庫中有93%到99%包含開源組件。

新思科技中國區軟件應用安全業務總監楊國樑表示：“開源已經被明確列入了中國‘十四五’規劃，其價值正在被越來越多的領域所認可。雖然憑藉其開放、協作、共享的特性，開源這一賽道持續火熱。但其中的風險隱患也不容忽視。過度依賴開源組件可能導致產品同質化；更需要重視的是，這還會增加安全風險、知識產權風險、供應鏈安全風險等。企業需要制定清晰的開源策略，並在內部及供應鏈貫徹該策略，藉助可靠的測試工具，以滿足業務發展需求的速度開發可信軟件產品。”

楊國樑介紹，新思科技從2008年開始發佈軟件安全構建成熟度模型BSIMM（Building Security In Maturity Model）報告，通過跟國際領先的軟件企業進行訪談，以瞭解軟件安全的大致運行框架，迄今為止已經形成了數百家企業的真實數據實踐。

楊國樑認為，其最新版本的軟件安全構建成熟度模型(BSIMM)的第13版——BSIMM13，反應出在軟件安全構建過程中呈現了四大趨勢：

第一個趨勢是“無處不移”：此前，軟件安全問題一直期望能在開發的早期階段解決，也就是行業內所稱的“左移”。事實上，在軟件開發、部署、應用的每一個階段、每一個節點都會由於生產活動引入獨有的安全問題，因此需要在特定時間進行基於上下文的測試。

第二個趨勢是安全集成到開發人員的工具鏈中：此前，大家對於安全的定位是“守門人”，可能在軟件開發生命週期的最後階段做安全掃描。但是，現在大家也看到安全活動不僅僅是安全部門的事情，軟件開發部門開始接受安全活動融入到開發過程中，並且在開發工具鏈上每一個可能的節點進行上下文檢查。

第三個趨勢是軟件供應鏈風險管理興起：軟件供應鏈問題並不僅僅侷限於開源治理，供應鏈裏還有各種各樣的商務的關係，將這些問題全部都輸出到一個軟件物料清單（SBOM）裏面，這將會是近幾年來很重要的發展趨勢。

第四個趨勢是將軟件安全擴展到應用程序和產品之外：在進行數字化轉型之前，軟件安全部門必須把公司內的各個環節，合規部門、開發部門、測試部門等等，它的利益相關者全部都串起來，建立相應的橋樑，所以軟件安全變得越來越重要，要處理的活動也越來越複雜。

那麼，怎麼才能利用BSIMM來做好軟件安全計劃呢？楊國樑也給出了自己的建議。

“首先指定戰略計劃，制定開源策略可以最大限度地降低使用開源軟件的法律、技術和業務風險。有一些企業甚至設立開源項目辦公室，以管理與開源軟件相關的所有事宜；其次要設置審批流程，以確定軟件包是否滿足企業的需求和質量標準。 需要考慮的標準包括代碼質量、支持級別、項目成熟度、貢獻者聲譽和漏洞趨勢；最後還應該創建審計流程以檢測開源軟件，除了確保遵守內部政策外，審計還可以全面瞭解正在使用的開源軟件。 這將幫助識別和定位開源組件，對於維護開源許可證合規性至關重要。而且，當有漏洞披露時，企業也可以儘快響應。” 楊國樑表示。

在數字經濟時代，上雲絕對是一個不可忽視的話題，雲上應用也成為了數字化轉型中的典型特徵。對於雲端安全與軟件安全的關係，楊國樑認為，“本質來説，二者都可以説是軟件安全，只不過雲上應用以雲原生的方式來為生產和生活提供服務。“雲原生是一個不可逆的趨勢，我們現在熟知的各種‘aaS’都是雲技術發展的一個結果。新思科技也會提供雲原生服務，一方面，一些軟件提供商會選擇新思科技作為安全工具的供應商，另一方面，新思科技也把安全作為一種能力為客户進行賦能。”楊國樑説。