运营商是移动通信和云计算等前沿通信技术使用的典型用户,关注创新性技术应用,但同时也需要采用创新性安全解决方案,以积极应对各类新型的攻击技术、手段及其风险。在软件供应链攻击事件频发的背景下,“加强供应商安全管理。建立供应商安全管理工作制度,定期梳理和更新供应商企业、产品、人员清单,对设计、开发、建设、运维等第三方服务实施管理,防止发生第三方网络安全事件。”成为《基础电信企业网络与信息安全工作考核要点与评分标准》的一项重点考核要求,并提出对未落实该要求的,给予相应处罚。
安全牛在近期开展的《软件供应链安全能力构建指南(2024版)》报告研究过程中,对某省电信企业软件供应链安全能力建设项目进行了调研分析,并从用户需求、方案设计、方案建设及运营等维度,对项目实际建设经验和特点进行了研究总结。
本案例正式收录于《软件供应链安全能力构建指南(2024版)》,项目由绿盟科技集团股份有限公司建设实施,并提供案例研究支持。
项目背景
本案例用户为某省电信企业单位,其软件主要由第三方开发,存在软件成分模糊,缺乏组件版本、关联组件情况、许可证信息等信息的问题;对组件来源不清晰,管理较混乱,无法确定来源进行精细化开源组件风险管控。用户缺乏软件物料清单SBOM检测手段,软件供应链资产无法有效管控,风险及漏洞修复率较低,不满足相关考核要求。
该单位希望通过软件供应链安全能力建设项目实现以下3个建设目标:
(1)软件供应链安全能力建设,具备供应链资产风险可视化管理能力;
(2)构建满足行业特点和业务场景的供应链知识库,收集和挖掘领域性组件安全的重要情报信息;
(3)能灵活对接各种检测工具,对存量的各种软件供应链资产进行风险检测。
解决方案
绿盟科技在该项目中,为用户提供的软件供应链安全解决方案包括平台、服务以及与安全运营平台联动的能力三部分。覆盖了软件供应链资产管理、企业管理、开源组件识别、软件安全评估、软件物料清单、安全风险自动化预警六部分。
绿盟软件供应链安全运营管理架构系统框图
供应链资产管理 主要识别、收集关键供应链资产,包括操作系统、数据库、办公软件等,并明确是否与公司的关键业务有关;
供应链企业管理 识别并收集软件供应商、技术检测方、设计建设方、安全测试方、网络运维方、安全产品供应商等角色相关信息;
开源组件识别 通过对源代码进行遍历和提取,收集各个文件的属性特征,通过对比组件库规则,找出源代码中使用的开源组件;
软件安全评估 从漏洞扫描、源代码审计、开源组件风险分析等多个角度,全面开展软件安全评估,识别软件风险;
软件物料清单生成 展示任务检测出的软件物料清单(SBOM),支持多种SBOM格式导出,如Excel、CycloneDx、SPDX、SWID;
安全风险自动化预警 与CVE、CNCVE、CNNVD、CNVD等主流标准漏洞库,外部威胁情报库交互,实现风险预警、风险关联展示、风险处置一体化的网络安全风险自动化管理解决方案。
该项目交付的产品包含:1个软件供应链风险管理平台,5个检测工具(网站漏洞扫描、主机漏洞扫描、代码软件组成分析、代码静态安全分析、移动应用APK安全分析)。该项目部署采用了虚拟化部署方案,客户提供了虚拟机资源,操作系统和应用系统以镜像文件格式交付、安装。
本项目为客户一期项目,实施周期为期一年,后续会有持续滚动二期项目,旨在进行能力扩容,包括组件数量的丰富,漏洞响应的实时性,供应链风险图谱等方面,会作为后续二期项目的目标。
方案特点
项目实施中,充分发挥了绿盟科技的技术创新能力。并分别在技术融合、SBOM应用、供应链安全情报、拓展融合等方面进行了创新实践。
1
技术创新融合
系统集成多种供应链风险检测工具,包括网站/主机漏洞扫描、软件组成分析、静态安全分析、APK安全分析。支持源代码、二进制、网站、主机类型等多种资产类型,支持工作流编排,多场景化调度和编排检测流程。
2
SBOM创新应用
SBOM管理系统实现了对所有软件组件的集中化管理,组件信息一目了然,版本控制更加精细化。SBOM系统生成的标准化数据,可与其他系统对接,输出SBOM数据,实现研发、测试、运维等全流程的可控性。
3
供应链安全情报体系
依托软件物料清单(SBOM)建立个性化安全情报推送机制,结合情报分析工具获取供应链市场在国际、国内的最新漏洞、热点威胁、热点攻击事件等情报,提高供应链安全检测与防护的准确性与全面性,并对系统内的各组件进行威胁情报专项展示,保证威胁情报的有效性与准确性。
4
拓展融合能力
安全管理平台可以与系统内的安全工具进行对接,实现能力接入,安全编排,针对不同场景调用不同的安全功能。实现供应链管理平台统一下发安全检测任务,调用外部工具接口,联动不同的检测工具,将供应链检测流程自动化、结果可视化。不再拘泥于单一厂商或单一产品功能。
案例点评
该项目在软件供应链安全体系建设中将软件安全检测能力与供应商管理、情报服务、安全运营能力进行了结合。从供应链安全管理的视角,一手抓源头对供应商进行安全评估和审查,一手抓应急提高了对软件供应链安全事件的应急响应能力。
方案体现了企业对自主创新、安全可控筑牢信息化、数字化转型的安全之基的要求,同时也给软件最终用户如何落地软件供应链安全建设提供了很好的思路和借鉴。
目前《软件供应链安全能力构建指南(2024版)》报告已经在安全牛商城上架预售,获取完整版本报告,请点击识别下方报告二维码。