重保季 | 供应链攻击持续高发，腾讯软件供应链安全方案一键护航

全球互联数字供应链时代下，软件已经渗透到我们工作和生活的方方面面，与各个领域紧密衔接。软件开发和生产也从传统的封闭、单一模式转变为现代的分布式、多样化模式，形成“软件供应链”。然而，软件供应链安全市场在蓬勃发展的同时，也逐步趋于复杂化和多样化，其安全风险不断加剧，引发全球的担忧。

尤其在重保场景下，攻击者可以利用软件供应链其中的一个弱点或者漏洞，突破边界防线，直接导致核心业务应用被攻破和重要数字资产的丢失，这种渗透内部获取机密或者植入恶意代码引起的破防比例极高。

此前爆发的SolarWinds、Log4j、Microsoft和Okta等多个软件供应链攻击事件对企业造成严重的冲击，也对全球经济构成显著威胁。Gartner报告指出，恶意代码注入威胁次数的增加使得保护内部代码及外部依赖项（开源和商业软件）变得越发重要，到2025年全球45%组织机构的软件供应链将遭到攻击，这个数据将会是2021年的三倍。

软件供应链，哪个环节掉链了?

您是否被以下问题困扰:

企业使用的软件因软件供应链漏洞易被攻陷软件工程包含开源组件、开源代码存在风险

无法快速定位自家软件的组件的0day漏洞

● 事前 无法提前感知

截至2023年9月，Sonatype《软件供应链状况》报告显示，研究团队共发现了245，032个恶意软件包，是往年总和的2倍。八分之一的开源下载存在已知风险，且仍有23% 的 Log4j 下载存在严重漏洞。可见，大多数企业在业务上线前，是无法提前感知研发流水线中开源组件/代码的安全问题。在软件应用生命周期里，修复漏洞的成本随着发现漏洞阶段的进程呈几何级数增长，传统的漏洞检测方法通常只能在业务系统开发完成后才能介入，这导致漏洞的修复成本高昂，甚至很多漏洞在安全事件发生后才会被发现及修正。

● 事中无法快速响应

重保响应中，企业往往难以迅速定位哪些业务应用程序中包含0Day漏洞或供应链中的恶意组件，而供应链投毒则涉及到在软件或硬件的供应链中植入恶意代码，这样的行为可能在产品分发之前就已经发生，使得传统的安全措施难以发现。

● 事后核心业务容易破防

与过去相比，现代网络系统环境变得更加复杂，许多组织现在依赖于智能化、云服务和开源技术。业务运营涉及众多参与者，使得供应链管理变得更加复杂。随着越来越多的第三方外包公司参与到供应链中，供应链的链条变得更长。任何环节的数据泄露、恶意代码注入或服务中断都可能对整个供应链造成严重破坏，企业核心业务因此破防。鉴于软件供应链安全问题涉及到层面过于复杂，有来自开源组件使用问题，典型如log4j组件漏洞、xz组件漏洞，有上游的管理权限问题，也有自身代码问题等，这条链子上但凡哪一环节出现问题，都会危害整个链路安全。因此，如何一键护航软件供应链，快准狠确保使用的组件安全，成为安全厂商的重要课题。

场景落地打造“共赢链”

● 风险源强把控

将安全插件集成到软件开发生命周期（SDLC）和研发流程中，推动“安全左移”策略的实施。在发布前对发布包进行安全检查，以保证软件的安全性和合规性，确保发布流程中的关键安全检查点得到有效建立。

● 自查风险修复

主动扫描软件供应链中使用的第三方组件和开源软件，监控整个供应链的安全性。将不同供应商的系统和应用集成后，进行统一的安全测试，厘清责任归属，实现精确的漏洞扫描，并提供专业的漏洞修复方案。

● 敏感信息收敛

支持对密钥、设备、通用敏感信息等多个敏感项的检查，并对系统中的网络、服务、文件、进程、权限等进行安全审计，以降低信息泄露和非法利用的风险。

● 快速定位响应

通过实现函数级别的分析，主动评估合规风险，确保软件供应链的每个环节都满足可追溯性和完整性的要求。利用软件物料清单（SBOM）提高软件的透明度，有效识别易受攻击的组件，从而增强快速响应能力。

覆盖SDLC全流程上线畅通“供应链”

事实上，软件供应链问题涉及人员素质、操作流程及安全意识等多个维度，并非仅是技术层面的问题。面对软件开发流程中的供应链安全威胁，需要将软件供应链安全风险与软件开发生命周期（SDLC）紧密结合起来考虑，确保安全实践与开发流程紧密结合。

腾讯软件供应链方案覆盖SDLC全流程上线，强调始终使用安全组件的重要性，以确保风险能够第一时间得到控制。它包括建立软件安全准入体系、开发运营风险管控和合规、风险与隐私管控三大方面，以及软件准入、开源管理、软件依赖、漏洞管理、版本管理、来源管理和威胁情报等七个关键环节，从代码托管、代码编写、单元测试、构建部署、集成测试、制品管理和持续部署等整链环环相扣，为软件供应链运行保驾护航，是企业的等保合规利器。

● 重保期间，腾讯安全软件成分分析工具限时赠送试用流量:

● 更多个性私有化方案欢迎通过产品官网联系腾讯安全团队!