2024年5月6日发(作者：)

计算机与网络

软件天地

■宋奇

随着安全领导者在建立软件供应链安全计划方面取得

更多进展，他们在可用的工具方面都会面临好消息和坏消

息，而无论其好坏，技术都在迅速发展。

对于快速发展的软件供应链安全技术来说，好消息

是，快速的创新步伐提供了越来越多的机会，可以提高软

件产品组合中大量组件和代码的可见性和透明度。

坏消息是，实验和创新同时朝着许多不同的方向发

展，安全工具领域是一个令人困惑的混合体，混杂着不断

发展的各种类别和利基产品。

其中一些是更传统的应用程序安全工具，它们正在向

更适合开发人员的方向发展。还有一些是传统的开发工

具，它们增加了以安全为中心的控制和功能，以应对供应

链风险的挑战。还有一些来自

DevSecOps

的领域，旨在促

进开发和安全领域之间的相互协作。

“人们很难

Tanium

公司的产品顾问

TomGoing

表示：

对软件供应链的安全有一个清晰的认识，原因之一是供应

链中有很多环节可能出错。企业可能会在软件中直接引入

漏洞，就像几年前的

SolarWinds

数据泄露事件一样，在

的。通常，旧电脑只是被世界其他部分“超越”了。操作系统变

得过于臃肿，旧电脑无法处理，因此不再能获得操作系统和

安全更新，另外应用程序开始要求旧电脑没有的资源即其他

配置。

笔者个人倾向于收留旧电脑，将它们用作实验室机器或

家庭服务器。最近发现在旧电脑上添加一块固态硬盘作为根

分区，并使用

XFCE

或类似的轻量级桌面环境，可让即使是

10

年前的电脑，也能愉快地用于期望的工作。平面设计、网页

Log4j

等常见库中存在漏洞，甚至可能是一个受损的证书

颁发机构这样的东西。”

软件供应链安全没有黄金标准

虽然有一些软件供应链安全产品栈和平台开始在市场

上整合，但这些产品的功能组合却多种多样。

这些平台倾向于围绕的主要工具类别是软件组合分析

（

SCA

）和生成软件材料清单（

SBOM

）的工具，即现代软件

的所谓“成分列表”。虽然

SCA

和

SBOM

倾向于构成许多

软件供应链安全工具的支柱，但对于试图构建路线图以支

持管理供应链风险全面计划的首席信息安全官来说，这确

实只是冰山一角。

Gartner

公司的高级主管兼应用安全分析师

DaleGardner

表示：“当人们关注供应链安全时，他们关注的是使用

SCA

和其他工具、是

SBOM

。这些都是解决方案中非常重要的

部分，但它们实际上只是一种不全面的解决方案。”

这还涉及许多其他活动部分，包括机密管理、依赖关系

/

持续交付映射和管理、持续集成（

CI

）（

CD

）管道安全性、

有效的存储库管理等。大多数专家都认为，安全团队将很

于它似乎明显地认为

Linux

在服务器上应该表现出色，好像

这是一种令人赞赏的情绪，但实

Linux

根本不需要努力一样。

Linux

在服务器上表现出色是因为全球开发团队付出际上，

了巨大努力，让

Linux

在其所从事的工作上特别有效。

Linux

之所以成为强大的操作系统，主要是因为它驱动

着大部分互联网、主导着大部分云计算、几乎现在所有的超

Linux

并非止步不前，级计算机以及更多应用领域。尽管它有

着丰富的历史，但它并没有深陷传统而无法进步。新技术正

在不断发展，

Linux

也是这些一进步的一部分。现代

Linux

适

应了不断变化的世界对增长需求的要求，使得系统管理员能

够为全世界的人们提供网络服务，这并不是

Linux

的全部能

力，但也绝非小小的成就。

设计、编程和定格动画等任务在低配置机器上都是小菜一

碟，更不用说简单的办公工作了。有了

Linux

驱动的机器，真

不知道为什么企业还要升级。

每个人都有自己喜欢的“救援”发行版，个人则喜欢

Slackware

和

Mageia

，它们都还发布了

32

位的安装镜像。

Mageia

也是基于

RPM

的，所以可以使用像

dnf

和

rpmbuild

这样的现代打包工具。

关于

Linux

服务器

在服务器上使用

Linux

并不令人惊讶，实际上，对于那些

了解

Linux

但自己不使用

Linux

的人来说，当提到

Linux

时，

数据中心通常是他们首先想到的。然而，这种假设的问题在

Copyright©博看网. All Rights Reserved.

25

软件天地

难从一家供应商那里找到他们需要的一切。

咨询机构

Coalfire

公司的应用程序安全高级经理

MichaelBorn

解释说：“我认为，没有一家供应商能够以满

计算机与网络

心态，包括混合供应链工具中的

SCA

。

Snyk

就是一个很好

Synopsys

和

ReversingLabs

最近宣布了更多的合作的例子，

伙伴关系，在不将客户锁定在单一平台的情况下扩大了供

应链安全能力。

代码扫描和渗透测试

保护软件供应链的核心是一个应用程序安全问题，因

此传统的应用程序安全代码扫描工具将在这个解决方案

堆栈中发挥重要作用。静态应用程序安全测试（

SAST

）、动

态应用程序安全测试（

DAST

）、交互式应用程序安全测试

（

IAST

）和运行时应用程序扫描保护（

RASP

）工具以及明智

地使用渗透测试，可以帮助企业测试他们自己的内部代

码，并提供对第三方代码的进一步检查，作为应对风险的

后盾。

“使用常见的

SCA

或

SBOM

测试

Coalfire

的

Born

说：

工具和技术可能会检测不到这些风险。通过全面的代码扫

描来维持多层安全是至关重要的，渗透测试的抽查也是如

此。先前发现的漏洞，而

SCA

和

SBOM

产品依赖于已知的、

彻底的应用程序渗透评估可能会在检查第三方库和框架

时识别出脆弱的代码使用情况，而这些代码以前可能在其

他地方没有报告过。”

SBOM

的丰富和聚集

足所有企业需求的方式处理与软件供应链安全相关的所

有挑战，缺乏整合并不一定是件坏事。这可能会使企业陷

入与供应商锁定相关的风险，并且可能意味着企业成熟或

变化的速度比供应商能够跟上的速度快。”

这种碎片化不仅是来自几个不同技术角度（以开发为

中心的工具、以操作为中心的模具、以安全为中心的工具）

有机创新的结果，而且还有一系列不同的用例。

德勤公司的网络风险安全供应链负责人

SharonChand

解释说：“我们必须非常具体地了解正在谈论的风险或用

例，以便能够找到合适的软件解决方案或整体解决方案堆

栈。因为真正需要什么样的解决方案将取决于在软件供应

链安全场景中的位置。如果我是软件生产者，那么看起来

与软件消费者不同。通常情况下，在整个供应链生命周期

的某些阶段，每个人都会同时处于这

2

种状态。”

企业如何将它们整合在一起将高度依赖于他们的用

例、基础设施，以及他们团队的技能和文化的构成。不幸的

是，目前还没有简单的方法来构建这个堆栈。

下面的安全工具为首席信息安全官提供了一个很好的

入门清单，用于规划适合他们的软件供应链安全解决方案

堆栈。这份名单虽然并不详尽，而且可能很快就会改变，但

是它包含了主要的工具类别和网络安全领导者可能想要

考虑的软件供应链安全路线图的特性。

SCA

和

SBOM

的生成

SCA

工具目前最为人所知的是它们在软件供应链安

当企业创建他们自己的

SBOM

并从他们的供应商那

里摄取

SBOM

时，这些工件的聚合、丰富和管理将成为操

作它们的一个日益重要的部分。例如，添加漏洞可利用性

交换（

VEX

）信息将成为情景化

SBOM

的一个日益重要的

部分。类似地，这些工具可以潜在地丰富

SBOM

信息的数

据包括组件健康检查，例如

OpenSSF

记分卡数据和

CISA

已知被利用漏洞（

KEV

）数据库中的漏洞预测评分系统

（

EPSS

）分数。

此外，简单地汇总软件组合和业务线中的

SBOM

信息

将是网络安全领导者日益关注的问题。这仍然是一个新兴

的领域，尚未真正整合成行业分析师确定的类别，因此首

席信息安全官必须在

SCA+

类型的工具、开源工具和新平

台中寻找这些功能，这些工具正在开辟他们自己的类别定

义路径。这些例子包括

Cybellum

、

Anchore

和

Rezilion

以及

Bomber

等新的开源工具。

全中的作用，但这一类别的起源故事开始于更为平淡无奇

的领域。这些工具最初是为了帮助开发团队在其构建中跟

踪其开源组件的使用情况，以处理许可合规性。随着供应

链安全开始获得更多关注，

SCA

工具内置了对与跟踪组件

相关的漏洞和安全风险的更深入分析和管理，并成为企业

生成

SBOM

和管理其开源使用的主要方法之一。

FOSSA和SynopsysBlackDuck就是（前身为WhiteSource）、

这种进化路径的主要例子。

SCA

并不是生成

SBOM

的唯一选择。其他一些

SBOM

生成方法包括使用命令行界面（

CLI

）工具，例如

Cyclone

运行时分析，例如

Rezilion

；二进制

DXCLI

和

SPDXTool

；

分析，如

ReversingLabs

。但

SCA

往往是那些构建软件供应

链解决方案堆栈或生态系统的供应商的赌注。其中一些是

SCA

供应商，通过内部开发或收购扩展到下面描述的其他

机密管理

共享机密扫描和管理正在从一个独立的工具类别快速

转变为一个功能，该功能正在融入软件供应链安全工具的

各个方面。这是因为在开发和实际环境中，针对嵌入在源

代码、配置文件和基础设施代码中的机密数据的网络攻击

活动仍然猖獗，因此迫切需要解决这个问题。工具类别。其他公司可能从一开始就考虑到了开发人员的

Copyright©博看网. All Rights Reserved.

26

计算机与网络

软件天地

Keyfactor

、这一类别中的一些主要工具包括

Garantir

、

CircleCI

、

Cosign

和

Venafi

。

CI/CD

管道安全性

CI/CD

交付管道是软件“工厂”的一部分，开发人员依

Gartner

公司在最近发布的一份报告中建议：“凭证文

件、私钥、密码和

API

令牌等机密信息不应提交给源代码控

制存储库。使用机密管理工具安全地存储和加密，实施访

问控制，并管理秘密（即创建、轮换和撤销）。”

这是一个基本的工具组件，因为网络攻击者可以利用

共享的秘密来完全破坏企业软件供应链的完整性。

依赖关系管理和映射

依赖关系管理和分析是另一个有点模糊的类别，与

SCA

和

SBOM

聚合等其他工具类别高度重叠。但这是值得

靠它来生产代码，因此，它是整个供应链的内在组成部分。

因此，加强这些环境的安全工具是健全的供应链安全计划

的重要组成部分。已经解决的机密管理问题是这个类别的

一个重要方面。其他包括

CI/CD

策略和治理管理，就像

Apiiro

和

Cycode

这样的公司正在开发产品，以及实现良好

呼吁的，因为它触及了一些最棘手的软件供应链安全问题

的核心。

安全倡导者对当今

SBOM

状态的一些最主要抱怨是，

它们仍然难以传达与列举软件相关的可传递依赖关系。

首席信息安全官和他们的团队将需要更好的方法来规

划和管理隐藏的依赖关系网络，这些依赖关系网络横跨他

们的应用程序、

API

、

CI/CD

管道组件和作为代码的基础设

施。一些可用的工具包括依赖映射工具，性能和弹性利益

相关者也依赖于这些工具，例如

Datadog

和

Atlassian

。此外，

SCA

和

SBOM

管理工具经常将这些特性合并到它们的组

的特权访问控制和强身份验证。

第三方风险管理平台

到目前为止，大多数工具主要集中于深入挖掘内部开

发软件中使用的第三方组件。但是，对于那些没有太多可

见性的第三方商业软件怎么办？这就是第三方风险管理

（

TPRM

）工具和流程发挥作用的地方。即使

SBOM

要求在

未来几年内竞相推动软件供应商提高透明度，但目前大多

数企业都很盲目。虽然

TPRM

风险评分工具（例如

Security

不能完全解决这个问题，但它们至

Scorecard

或

RiskRecon

）

少可以作为风险的代理，可能会让企业确定他们需要与特

定供应商和软件提供商合作，以深入挖掘他们的代码。

德勤公司的

Chand

说：“我认为

TPRM

产品可以发挥作

用的地方是，如果存在风险，我们能够识别风险，也许这就

是我真正希望将精力集中在

SCA

和理解软件组成的原因。

它成为了一种风险缓解技术，而不是我在生产或购买的所

有软件中普遍使用的解决方案。”

她表示，软件供应链安全领域仍然缺乏应用安全风险

和业务风险之间的可靠工具联系，她认为下一个重大创新

机会可能在于供应商和从业者如何将

TPRM

平台和更广泛

的供应链风险管理（

SCRM

）流程与来自

SBOM

和

CI/CD

管

道的数据联系起来。

即其他配置安全和

CNAPP

用于测试和部署代码的底层基础设施也是代码，是供

应链的基本部分。因此，首席信息安全官应该考虑至少将

基础设施即代码（

IaC

）扫描和安全工具作为其更广泛的供

应链安全计划的一部分。

这些工具倾向于跨越软件供应链安全工具和云原生应

用程序保护平台之间的界限，这可以说是开始进入云安全

和其他安全运营领域。但是云原生应用程序保护平台提供

了很多其他的供应链安全支持，特别是在容器可见性和运

行时安全性方面。容器是软件供应链中主要的攻击目标，

在运行时采用的安全措施可以在工作负载进入生产环境之

后为其提供支持。

合中。最近在这方面打入市场的一个值得注意的参与者是

EndorLabs

公司，该公司于

2022

年

10

月脱离隐身模式，将

自己描述为“依赖生命周期管理”解决方案。不久前，该公

司进入了

RSA

大会创新沙盒的决赛。

受信任的存储库和注册中心

虽然工件存储库和容器注册表本身不是安全工具，但

是将它们与规范的策略和过程一起使用可以在管理供应链

风险中发挥重要作用。建立可信的工件存储库和容器注册

中心是为开发人员建立“安全护栏”基础设施的基本部分。

提供经过批准的组件的集中来源是一种主动方法，可以避

免出现问题，并对进入企业软件的内容进行健全的治理。

Gartner

公司的分析师表示：“这些存储库是经过批准

和审查的工件和软件组件的可信来源，这实现了对软件成

分的集中管理、可见性、可审核性和可追溯性。”

安全代码签名

随着开发人员在其生命周期内提交和部署软件，代码

签名正日益成为确保代码和容器完整性的最佳实践。这个

过程不仅对于建立强大的内部控制措施以防止篡改至关重

要，而且对于建立客户对交付给外部客户的产品的信任也

至关重要。

当然，代码签名证书是软件供应链攻击者青睐的目标，

因此首席信息安全官及其团队需要确保他们选择正确的工

具并建立控制措施，以确保他们的代码签名过程真正安全。

Copyright©博看网. All Rights Reserved.

27