金融行业软件供应链安全白皮书 2023.docx

《金融行业软件供应链安全白皮书 2023.docx》由会员分享，可在线阅读，更多相关《金融行业软件供应链安全白皮书 2023.docx（62页珍藏版）》请在课桌文档上搜索。

1、附录A:金融行业软件供应链安全常见误区51(一)软件供应链安全与开源风险治理51(一)软件供应链安全与研发安全运维一体化52附录B:典型软件供应链攻击事件53(一)1.og4j2远程代码执行漏洞件55仁)Kaseya供应犍攻击事件56(三)Codecov供应链攻击事件57(四)太阳风供应箧攻击件58华硕软件更新服务器供应链攻击事件59(六)CCIeaner供应链攻击事件60附录C:主要国产化厂商61(一)国内外操作系统生态联盟对比61仁)中国本土操作系统主要企业概况61中国本ZHftS库现企业6263法律声明目录一.金融行业软件供应链安全概况Ol（一）金融行业软件供应箧安全现状01金融行业软件

2、供应链主要风险与挑战04（）金Ii行业软件供应链安全值要意义16-.金融行业软件供应错安全总体框架20（一）典型安全治理框架20（二）关键安全技术26（三）软件供应捱安全治理弁考框架37三.金触行业软件供应链安全实践40（一）制定软件供应链安全制度与规范40（二）选择和评估供应商41（三）软件与组件的准入42在软件生命周期实施安全性45（）持续监控和瞥报变四.金融行业软件供应链安全趋势和展望48（一）提升软件供应链透明度48（二）强化供应链风险管理48（三）推动软件供应链安全标准和指南49（四）建立金融行业软件供应链安全监测平台49（五）建立自动化和智能化安全50金融行业软件供应链安全概况(一

3、)金融行业软件供应链安全现状1.软件供应链安全对于软件供应链的理解有很多种方式，一种常见的方式是把软件供应链与工业供应链或传统供应链进行类比：一些资源和原材料被:肖耗，通过一系列步骤和过程，转化为产品或服务提供给最终用户。在软件中，原材料是代码和工具，工程师把代码转化为最终的可交付物。这个可交付物可能是面向用户的软件、服务，也可能作为依赖关系进入到其他软件中，成为软件供应链的一部分。传统供应窿软件供1遇矗TCBTaTCJb开源代码/，软件开发/测试渠道分发用户下第三方代码引入图1：软件供应链对比传统供应链与传统供应箧相比，软件供应链主要涉及可复、通过网络等方式轻松地进行复得到广泛应用，软件开发

4、敏捷化向研发运维一体化R软件更新进作构件供应链面临算改等成胁时一图目录图1：软件供应链对比传统供应疑Oi图2:大代码库包含开源漏洞io图3：软件制品供应链级别识别的软件供应链威胁22图4：软件保障成熟度模型整体框架24图5:软件安全构建成熟度模型整体框架25表目录表1：常见开源许可证介绍13表2：国内监管意见和标准要求16表3：互联网安全中心提供的五类技术控制措旅21表4：数字供应箧风险成为主要安全风险285供应链安全治理分考1踝名潮8写38表6：软件供应链通用风险控制38表7：软件生命周期风险控制39C软件供应链数据安全风陵管理能力识别和防范供应关系和供应活动中存在的数据泄露、数据篡改、非法

5、访问等数据安全风险。这包括建立合适的数据保护措施，如加密和访问控制，以确保在整个供应链中数据的机密性和完整性。同时，进行供应商的数据安全审查，确保供应商能够妥善保护敏感数据，并遵守相关的隐私法规和合规要求。2.金融行业软件供应链安全金融行业的软件供应链具有复杂程度高业务连续性要求高、数据价值高、行业监管严格等特点：复杂程度高：金融行业的软件供应链通常非常复杂。银行、保险、证券等金融机构均建设有适用于自身业务的核心系统，以及相关的金融服务系统、生活服务系统、基础服务系统，这些系统通常由多个供应商提供，并相互关联和集成。复杂性增加了管理和保护供应链的挑战，同时也增加了潜在的风险。业务连续性要求高：

6、金融行业对业务连续性的要求非常高。金融机构的核心业务依赖于这些软件系统的安全与稳定的运行。任何中断都可能导致金融机构的服务中断、数据泄露、资金或声誉受损。在国家标准信息安全技术软件供应链安全要求（征求意见稿）中，软件供应链被定义为：“基于供应关系，通过资源和过程将软件产品或服务从供方传递给需方的网链系统”，软件供应链安全的目标被定义为：“识别和防范供应关系和供应活动中面临的安全风险，提升软件供应链安全保障能力”。综合来看，软件供应链关注软件开发、交付和维护过程中涉及的各个环节和参与方，包括外包软件开发公司以及第三方组件提供商、开源社区等,并且涉及到诸多第三方组件和开源组件。软件供应链安全主要关

7、注三个方向：日软件产品或服务中断供应等风险管理能力识别和防范供应关系建立及供应活动中软件产品和服务供应中断的安全管理风险。这包括制定灵活的供应链战略，建立备用供应商或备用方案，以应对潜在的供应链中断风险。同时，建立合适的合同和协议，明确供应商的责任和义务，确保在供应链中断或部分失效时能够保障业务的持续稳定运行。D供应活动引入的技术安全风险管理能力识别和防范由于供应关系或供应活动变化导致的软件漏洞、后门、篡改、伪造等技术安全风险这包括进行供应商的安全评估和审查，确保供应商的软件产品符合安全要求，并及时修复或更新软件中的安全漏洞，同时.采取安全开发实践和安全测试措施，确保引入的软件组件和代码没有潜

8、在的安全问题。1.中断供应风险当前国际形势面临复杂挑战，不确定性因素增加，对软件供应链的持续供应带来挑战。近年来多次出现海外供应商因软件出口管制等原因，无法继续提供或支持相关软件，导致供应链的软件中断供应（断供）。断供问题在金融行业中具有重要的影响，需要关注软件中断供应的风险。在现代软件开发过程中，会涉及到众多供应商，包括第三方软件开发公司、第三方组件提供商、开源社区等，供应商“断供”会直接影响企业的业务连续性和稳定性。在传统供应链的安全体系中，企业需要供应链的多样性，避免依赖单一供应商或特定地区的供应链，软件供应链也是如此。行业企业需要做好供应商的评估与审计，制定备份计划和应急响应机制，以应

9、对潜在的中断风险。断供问题可以从多个角度进行分析，包括商业公司断供和开源社区断供，并且从供方主动断供和供方被动断供两个角度进行分析。商业公司的被动断供，即商业公司由于外部因素导致的终止提供软件,比较常见的原因是出口管制。当政策发生变化时，商业公司所在国家或地区的法律法规限制软件出口，金融机构可能无法继续获取或使用受限制的软件，导致金融机构在业务连续性上面临挑战。商业公司的主动断供，即商业公司主动终止提供软件，可能发生在以下几种情况下：公司倒闭：商业公司可能由于财务困难、经营不善或市场竞争等原因导致倒闭，当供应商无法继续运营时，金融机构可能面临断供的风险。数据价值高：金融机构处理大量敏感数据，包

10、括客户的个人金融信息。软件供应链中的任何漏洞或安全风险都可能导致数据泄露或未经授权的访问。金融行业需要确保供应链中的每个环节都具有较高的安全性。行业监管严格：金融行业受到严格的监管和审查。监管部门对金融机构的安全提出了严格要求，包括应用安全要求、数据安全要求个人金融信息保护要求等。金融机构需要积极配合监管机构的审核和监控，确保合规性和安全性。由此可见，金融行业软件供应链安全的目标可以定义为：识别和防范供应关系和供应活动中面临的安全风险，提升金融行业软件供应链安全保障能力，降低中断供应风险、技术和数据安全风险、知识产权风险到可接受的程度。(二)金融行业软件供应链主要风险与挑战金融行业软件供应链安

11、全当前已经成为网络安全热点问题，近年来由于国际形势错综复杂，软件中断供应事件时有发生，同时软件供应链安全事件频发，如2020年的太阳风(SolarWindS)供应链攻击事件以及2021年的1.og4j2远程代码执行漏洞事件.这些事件均暴露了软件供应链中的安全风险，并引发了行业广泛的关注和讨论。根据中国电子学会在中国国产化产业发展白皮书中的分析，未来信息技术(IT)世界有望形成多种信息技术标准和生态并存的产业格局。2023年中国计算产业市场的规模将达到7300亿元。如果按照其中50$的比例来计算，即国产化产业的市场规模，那么到2023年中国的国产化产业市场规模将突破3650亿元。随着我国科技的发

12、展，信息技术应用创新(国产化)产业的进步，国产化产品将逐步打破原有的技术垄断，有助于降低断供风险。2.技术与数据安全风险近年来，软件供应链攻击事件频发，造成严重影响。一方面，现代软件复杂度提升，敏捷开发模式使得传统控制手段不再适用；另一方面，攻击者水平不断提升，一些攻击事件甚至涉及到国家级的黑客组织。这些情况使得软件供应链的技术与数据安全面临严重的挑战。软件供应链涉及多个环节和参与方，因此存在多种技术和数据安全风险。下面对金融行业软件供应链的主要技术安全风险和主要数据安全风险进行介绍：徒件漏洞，软件供应链中的软件可能存在漏洞，这些漏洞可能被黑客利用来获取未授权的访问权限或执行恶意操作。漏洞可能

13、出现在供应商的开发过程中.也可能由于第三方组件或库的漏洞而传播到整个供应链中。虹时商业公司可能调整其战略方向或产品组合，决定停止提供特定的软件或服务。这可能导致金融机构依赖的软件或服务无法继续获取，从而导致断供的风险。开源社区的被动断供风险较低，因为许多开源软件的许可证是永久的、不可撤销的，不受出口管制的约束。但是需要注意，开源社区所在代码托管平台需要道守所在国家或地区的法律法规限制，受到出口管制的约束，被动断供风险仍然存在。开源社区的主动断供，即开源社区主动终止提供软件，可能发生在以下几种情况下：社区解散：开源社区可能由于各种原因，如资源短缺、缺乏维护者、兴趣下降等而解散。这可能导致金融机构

14、依赖的开源软件项目无法获得后续的更新、修复和支持，从而增加了安全风险和断供风险。缺乏支持：开源项目的可持续性依赖于活跃的社区和贡献者。如果一个开源项自缺乏足够的支持和维护，金融机构可能面临使用过时软件、漏洞修复缓慢或无法获取必要的技术支持的风险。单一供应商不利于风险控制，为了降低断供风险.建议金融机构优先选择国产化软件产品，尤其是在操作系统、数据库等基础软件的选择上。目前国产化操作系统、数据库等基础软件发展迅速，并已经完成对于国产化处理器等关键软硬件的适配，在金融行业得到广泛应用。以2020年的太阳风(SoIarWinds)供应链攻击事件为例，这是目前最为著名和具有影响力的案例之一。黑客通过攻

15、击SoIarWindS公司的软件更新系统并植入恶意代码，进而渗透至多个国家和地区的企业，造成了巨大危害。软件篡改和伪造场景中有一个常被忽略的情况，就是对于开发工具的篡改，通过篡改开发工具，使得开发工具生成的软件被植入恶意代码，这种攻击方式更加隐蔽，也更难以被发现。2015年的XcOdeGhOSt事件就是典型的开发工具篡改事件。Xcode是苹果公司的集成开发环境(IDE),被用于开发iOS应用程序。在XCOdeGhOSt事件中，黑客通过在第三方网站上上传了篡改过的Xcode版本，骗取了一些开发者下载并使用该版本进行应用程序的开发。这些篡改的XCOde版本被植入了恶意代码，这些代码在使用该Xcod

16、e版本进行应用程序编译时，会将恶意代码嵌入到最终的应用程序中.在国内，软件供应链攻击事件也时有发生，给各个行业和组织带来了严重的安全威胁，需要采取有效的预防和保护措施降低软件供应链攻击的风险。在保障软件的完整性时常使用数字签名技术，通过数字签名验证软件的来源，确保软件是由可信的供应商发布的，没有被篡改或伪造0负责签发数字签名的证书授权中心(CA)同样存在断供的风险，需要金融机构关注。后n和恶码：供应链中的软件可能被植入后门或恶意代码，用于远程控制、数据窃取或非法操作。黑客可以通过篡改软件或在软件发布过程中注入恶意代码来实现这些攻击。蟀改和伪造：在软件供应链中，黑客可以通过篡改软件包或伪造数字签

17、名等手段来篡改软件的完整性和真实性。这可能导致软件在安装或更新过程中被感染、被恶意替换或被非法访问。W三三l:软件供应链中的数据可能会受到泄露的风险。这可能发生在供应链中的任何环节，包括供应商、开发人员、数据存储和传输等。数据泄露可能导致敏感信息的曝光，如个人身份信息、财务数据或商业机密等。供应链中的数据可能遭到未经授权的篡改，这可能导致数据的完整性和可信度受到破坏。黑客可能通过修改数据、篡改交易记录或更改配置文件等方式对数据进行篡改。其中,后门和恶意代码场景还分为供方预留和攻击者恶意植入两种情况,供方可能出于维护的角度在软件中预留后门，攻击者恶意植入是更常见的情况，通过污染供应链进行更加广泛

18、的攻击。开源代码的引入、使用过程中涉及众多参与方，包括开发人员、测试人员、交付人员等，这对安全工作带来了更大的挑战。供应链中的各方都需要进行审查修复漏洞，并加强风险管理和补丁管理，以确保供应链的安全性。3.知识产权风险金融行业软件供应链同时包含开源软件与商业软件，涉及多个供应商和合作伙伴，并且往往跨越国家和地区，这给知识产权保护工作带来挑战。金融行业软件供应链的知识产权问题涉及到对软件的版权、专利和商标等知识产权的保护和合规。下面对软件供应链的主要知识产权风险进行介绍：软件侵权风险，在软件供应链中，存在使用未经授权的软件、未经授权的代码片段或盗版软件的风险。如果软件供应链中的组件、库或代码存在

19、侵权行为,将面临版权纠纷和法律风险。开源软件合规风险：开源软件的使用在软件供应链中非常普遍，但也需要遵守相应的开源许可证要求。如果在使用开源软件时不符合许可证规定，例如未提供必要的版权声明、未提供源代码等，将面临违反开源许可证要求的风险。另外在开发软件时，为了保障交付时间，不可避免的要引入大量第三方开源代码。根据咨询公司弗雷斯特(Foivester)在2021年发布的统计数据展示，企业软件代码中开源代码的比例从2015年的36%上涨到2019年的70%,5年的时间几乎翻了一倍。根据新思科技(Synopsys)发布的2023年开源安全和风险分析报告，84%代码库的至少包含一个开源漏洞，漏洞数量呈

20、现上涨趋势。至少包含一个漏洞的代码库的百分比图2:大量代码库包含开源漏洞(数据来源：新思科技)大量开源代码的使用以及开源代码之间的依赖关系，使得软件供应链变得更加复杂，呈现出开源需求与供应链攻击同步增长的态势。以2021年的1.og4j2远程代码执行漏洞事件为例，1.og4j2的特定版本存在远程代码执行漏洞，由于1.og4j2是一个常用的基础日志库，被很多开源组件直接或者间接依赖，使得影响范围不断扩大，并且预计影响还将持续数年。ttffl不J三:在软件开发过程中，应遵守相应的许可协议规范和要求。如果软件产品发布时不符合相应许可协议的规范和要求，也会面临合规风险。如果软件开发者在使用开源软件时没

21、有遵循该软件的许可协议要求，如未提供必要的版权声明、未保留原始许可证、未提供源代码等，可能会违反开源软件的使用规范。在使用开源组件并对其进行修改后，如果丢失了原始许可证信息，将难以确认软件的合规性。这可能会导致版权纠纷和法律风险。如果软件产品中包含从其他开源项目复制的代码片段，但未提供相关的许可证信息，将难以确定代码的合规性和法律使用性。以下是一些常见的开源许可证的介绍，它们在开源软件社区中广泛使用：表1：常见开源许可证介绍常见的开源许可证介绍序号许可证描述特点1GP1.许可证GP1.(GeneralPublic1.iCenSe)是一种强共享许可证，要求任何基于GP1.许可证的软件及其衍生作品

22、必须以GP1.许可证发布。这意味着使用、修改和分发该软件的用户必须公开源代码。GP1.(Genera1PubIic1.iCenSe)是一种强共享许可i正，要求任何基于GP1.许可证的软件及其衍生作品必须以GP1.许可证发布。这意味着使用、修改和分发该软件的用户必须公开源代码。1.ro1.lJJIlI冰码的商业机密保护：软件供应链中的代码可能包含公司的商业机密，如专有算法、商业逻辑等。如果在供应链的任何环节泄露或未经授权使用这些商业机密，将导致商业机密的损失。*三Rm:软件供应链中的技术和创新可能涉及专利保护。如果在开发、使用或分发软件时侵犯他人的专利权，将面临专利纠纷和法律诉讼。在上述内容中，

23、开源软件合规风险最为常见，下面对开源许可证风险进行介绍：无开源许可证：在软件开发过程中，使用开源软件组件非常普遍。然而，如果软件产品发布时缺乏明确的开源许可证类型，可能会导致合规风险。常见的开源许可证类型包括1.GP1.、Mozilla.GP1.、BSD、MlT、Apache等。这些许可证对于软件的使用、修改和再分发都有不同的规定。如果软件产品没有明确指定适用的开源许可证类型，或者没有提供相应的许可证信息，将难以确定软件的使用、分发和修改是否符合合规要求。1.-TM1.l1.JIII6MP1.MoZilIa公共许可证(MP1.)是一种专门用于开源软件的许可证。它要求任何基于MP1.许可证的软件

24、及其衍生作品必须以MP1.或兼容的许可证发布。MP1.使用文件级别的许可证,这意味着可以使用不同的许可证或兼容的许可证来许可每个文件。这使得在MP1.项目中使用其他许可证的代码变得更加灵活。积极保护知识产权，遵守开源软件许可证规范，可以降低金融机构知识产权风险，确保软件供应链的合规。r-r-U.C-IlI21.GP1.许可证1.GP1.（1.esserGeneralPublic1.iCenSe）是基于GP1.许可证的变体，主要用于软件库。它允许商业应用程序通过动态链接方式使用1.GP1.许可证的库,而不要求商业应用程序本身使用1.GP1.但是，如果商业应用程序选择静态链接（将库的源代码编译到应

25、用程序中）,则商业应用程序的源代码也必须以1.GP1.许可证发布。为商业软件提供了更大的灵活性，可以与1.GP1.许可证的库进行链接而无需公开商业软件的源代码。3MIT许可证MIT许可证是一种宽松型许可证，允许自由使用、修改和分发软件，同时要求保留版权和责任声明。简单明了，适用于各种开源项目，与多种许可证兼容。4Apache许可证APaChe许可证是一种商业友好的许可证，允许软件的商业使用和分发。它要求对源代码的公开和保持对源代码的开放性。提供了商业软件和开源软件之间的平衡，适用于大型开源项目和商业产品。5BSD许可证BSD许可证是一系列类似的许可证，如BSD2-CIaUSe、BSD3Ylau

26、se等。它们宽松而灵活，允许自由使用、修改和分发软件，同时要求保留版权和责任声明。简单明了，允许商业使用，其中BSD2-Clause较为简洁,BSD3-Clause和BSD4Clause在条款中增加额外的限制。1.rl1.lKJIII4国家互联网信息办公室、中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局在2021年11月，网络安全审查办法经国家互联网信息办公室审议通过，并经国家发展

27、和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局同意，自2022年2月15日起施行。办法中明确要求，为了确保关键信息基础设施供应链安全，保障网络安全和数据安全，维护国家安全，关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应当进行网络安全审查，对于申报网络安全审查的采购活动，关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制

28、和操纵用户设备，无正当理由不中断产品供应或者必要的技术支持服务等。5中国人民银行在2021年12月，中国人民银行印发金融科技发展规划(20222025年)的通知，通知中提出了关于切实保障供应链稳定可靠的一系列要求。6国家市场监督管理总局、中国国家标准化管理委员会在2022年9月，全国信息安全标准化技术委员会发布了国家标准信息安全技术软件供应链安全要求(征求意见稿)，标准对软件供应链安全提出了一系列安全要求。（三）金融行业软件供应链安全重要意义1 .监管意见和标准要求鉴于软件供应链安全的重要性，监管机构近年来逐步完善软件供应链安全标准，对软件供应链安全提出方向性要求，推动软件供应链安全体系建设,

29、指导金融机构更好的控制软件供应链风险，保护客户和企业资产的安全。赛2:国内监管意见和标准要求（数据来源：公开渠道整理）国内监管意见和标准要求序号1.体内容1国家市场监督管理总局、中国国家标准化管理委员会在2018年10月10日，国家市场监督管理总局和中国国家标准化管理委员会正式发布了国家标准GB/T36637-2018信息安全技术ICT供应链安全风险管理指南，对信息通信技术（ICT）供应链安全提出了要求。2国家市场监督管理总局、中国国家标准化管理委员会在2019年修订的GB/T22239-2019信息安全技术信息系统安全等级保护基本要求在通用要求里，提出了产品采购与使用、外包软件开发、服务供应

30、商选择等供应链安全要求。3中国人民银行、中央网络安全和信息化委员会、工业和信息化部、中国银行保险监督管理委员会、中国证券监督管理委员会在2021年10月，人民银行办公厅、中央网信办秘书局、工信部办公厅、银保监会办公厅、证监会办公厅联合发布关于规范金融业开源技术应用与发展的意见。在意见中明确要求金融机构在使用开源技术时，应遵循“安全可控、合规使用、问题导向、开放创新”等原则，鼓励金融机构提升自身对开源技术的评估能力、合规审查能力、应急处置能力、供应链管理能力等。1.rI1.l1.1.c-Il随着人民银行首个金融科技三年规划的结束，我国金融科技从“立柱架梁”全面迈入“积厚成势”新阶段。人民银行在金

31、融科技发展规划（20222025年）提出了关于切实保障供应链稳定可靠的一系列要求，包括事前把好选型关口，事中保障应急储备，事后强化风险处置，最终构建稳健高效的关键核心技术金融应用供应体系。金融机构需要采取一系列措施来应对不断增长的安全威胁，建立完善的供应链管理制度，以应对软件供应链安全的挑战，确保软件供应链的安全可信，降低风险，金融行业的软件供应链安全体系建设势在必行。1.rf二J”I7中国人民银行、全国金融标准化技术委员会在2022年9月，全国金融标准化技术委员会发布了金融标准金融业开源软件应用管理指南（送审稿）以及金融信息系统开源软件应用评估规范（送审稿），标准对开源软件应用管理以及开源软

32、件应用评估工作提出了一系列要求。8国家市场监督管理总局、中国国家标准化管理委员会在2023年4月，全国信息安全标准化技术委员会发布了国家标准信息安全技术软件产品开源代码安全评价方法（征求意见稿），标准对开源代码安全评价工作提出了一系列要求。目前国内与软件供应链安全相关的法律法规主要有中华人民共和国国家安全法、中华人民共和国网络安全法、中华人民共和国数据安全法、关键信息基础设施安全保护条例以及网络安全审查办法，对软件供应链安全提出一系列指导意见和要求，体现出网络安全和信息化是相辅相成的。安全是发展的前提，发展是安全的保障，安全和发展要同步推进O截至2023年7月，国内尚没有正式发布针对软件供应链

33、安全的国家标准或金融行业标准，软件供应链安全标准与指南仍需要逐步完善。2 .金融行业软件供应链安全重要性金融机构通常处理着大量的敏感数据和财务交易，安全问题一旦出现，后果将不堪设想。另一方面，金融行业的监管要求也在不断深化，对于软件供应链安全的要求也越来越高，软件供应链安全对金融行业的重要性日益凸衰3:互联网安全中心提供的五类技术控制措施类别控制措施源代码代码更改存储库管理贡献访问权限第三方代码风险构建管道构建管道构建工具管道指令管道完整性依赖项第三方软件包验证软件包制品制品验证访问验证软件包注册来源追溯部署部署配置部署环境该框架由互联网安全中心以及其他几家技术公司共同开发，适合希望改进已建立

34、的软件供应链安全计划的组织。二.金融行业软件供应链安全总体框架(一)典型安全治理框架1.软件供应链安全指南互联网安全中心(CIS)的软件供应链安全指南(SoftwareSupplyChainSecurityGuide)是一个详细的指导文件，指导如何开发一更好的软件供应链安全实践计划，按照软件开发生命周期的阶段进行分步操作。指南包含173个控制措施，详细描述了每个控制措施的理由、审计指导和纠正步骤，分为五个主要类别：代码：对组织开发的任何应用进行适当的源代码管理的安全建议。关于构建流水线的管理和安全的安全建议。对软件构建和发布过程中引入的各种依赖关系的管理的安全建议。工件：管理由构建流水线产生的

35、工件，以及应用在构建过程中使用的工件的安全建议。W:管理应用部署过程、配置以及相关文件的安全建议。构建完整性：确保包是根据软件生产者定义的构建配置从正确的、未经修改的源代码和依赖项构建的，并且在开发阶段传递过程中不会修改工件。可用性：确保将来可以继续构建和维护软件包，并且所有代码和变更历史记录可用于调查和事件响应。软件制品供应链级别是一套可逐步采用的供应链安全准则，对软件的供方和需方都适用：供方可以遵循软件制品供应链级别的指导方针，使他们的软件供应链更加安全，而需方可以利用软件制品供应链级别来决定是否信任一个软件包。3.软件保障成熟度模型软件保障成熟度模型(SoftwareAssuranceM

36、aturityMOdeI,缩写为SAMM)是由OWASP(OPenWebApplicationSecurityProject)组织开发的一种软件安全成熟度模型。软件保障成熟度模型旨在帮助组织评估、建立和改进其软件安全保障实践的成熟度水平，其中部分内容涉及软件供应链安全领域。SAMM基于五个业务功能(businessfunction),十五个安全实践(securitypractice)每个安全实践都包含一组活动(activity),活动分为两个流(stream),三个成熟度等级(maturitylevel),较低成熟度级别的活动通常更容易执行。可以通过最多90个评估点来确定SAMM成熟度等级。2

37、.软件制品供应链级别软件制品供应链级别(Supply-chain1.evelsforSoftwareArtifacts,缩写为S1.SA)是一个由开源安全基金会(OPenSSF)维护的安全框架，在2023年4月发布1.0版本，这也是S1.SA的第一个稳定版本。软件制品供应链级别基于谷歌公司(Google)的实践并结合开源社区的共识，为软件供应链安全提供规范，目前包含等级1至等级3的要求，未来会拓展到等级4以及更高的要求。开发者依赖I页图3:软件制品供应链级别识别的软件供应链威胁金融行业软件制品供应链级别的主要关注点是供应链的完整性，其次是可用性。完整性意味着在软件生命周期的任何阶段都能够防止篡

38、改或未经授权的修改。软件制品供应链级别将完整性分为源代码完整性和构建完整性。源代码完整性：确保对源代码的所有更改都反映了软件生产者的意图。组织的意图很难定义，因此软件制品供应链级别将其近似定义为经过两名授权代表的批准。1.rI1.,1.JllISM0治理QSSD1.触点部署实残.人乂珀齐也0项依6例讨？?利于在企虫中Tai企业BiHeX开帙裁件或今活雨的实It厢（奥中注曾忸口收包到父二怪的也分希丁也机构建阳与分析和保总杉定长朴开发工件（HnUKQ7网开发就附加大的实践，斯仃伪政伟次仝方绘论那Ha这班实髅5!蝮的网咯安全总修什班测R限机RM2道的实线K:科颜明尹刖1他环堆何e”救科也全WH犊心府

39、女）管理SSD1.触点JI依略IO描W(SM)2.1.lt与政IHe)X91(T)品攻击根里（M卜安全动能和设计（SFWAMift和求1驮7.筮构分W（WB代码（B9.安全性潮us）J0.外途族成bJ11.一件耳填（SGIi配才仟em支今He离钎ennv图5:软件安全构建成熟度模型整体框架软件安全构建成熟度模型通过收集和分析全球各种类型组织的实践和经验，提供了一套通用的框架，用于衡和改进组织的安全开发成熟度，包括软件供应链安全在内的一系列软件安全实践，源藁了软件安全保障的各个方面。图4:软件保障成熟度模型整体框架软件保障成熟度模型提供了一套综合的指南和方法，通过定义不同成熟度水平的实践和活动，

40、帮助组织评估其软件安全保障的现状，确定优先级和改进方向，并提供了一种逐步提高软件安全保障成熟度的方法。4.软件安全构建成熟度模型软件安全构建成熟度模型(BUiIdingSecurityInMaturityMOdeI,缩写为BSlMM)是一种软件安全成熟度模型，旨在帮助组织评估、建立和改进其安全开发实践。软件安全构建成熟度模型是由软件安全领域的专业人士共同开发，并由新思科技(SynOPSyS)进行维护。软件安全构建成熟度模型包括121项活动，分为四个领域(管理、情报、安全软件开发生命周期触点和部署)的12项实践。1.rI1.I1.JIIIa依愉分析基于依赖分析的软件成分分析关注软件应用程序的依赖

41、关系，包括直接依赖和间接依赖，通常通过扫描软件包管理器中的依赖关系和元数据来进行。软件成分分析识别应用程序所依赖的外部组件和库，分析每个依赖项的组件信息，包括版本号、开发者、许可证等，同时与已知的漏洞数据库进行比对，以确定组件中是否存在已知的安全漏洞。通过检查依赖项的版本、安全补丁和更新状态，可以确定应用程序的安全性。b同源分析基于同源分析的软件成分分析是通过提取软件源代码、二进制文件的特征，并且与组件数据库进行对比。它分析每个组件的信息，包括版本、开发者、许可证等，与已知的漏洞数据库进行比对，以检测组件中是否存在已知的安全漏洞。这种方法依赖于特征提取算法的准确性，以及组件数据库的准确性，通常

42、误报率更高，但是可以对二进制文件进行成分分析。食行软件供应皮.(一)关键安全技术1 .软件成分分析软件成分分析(SOftWareCompositionAnalysis,SCA)是一种用于分析软件应用程序中使用的第三方开源组件和其他依赖项的工具，可以用于辅助软件供应链安全体系建设。它能够检测和识别所有的软件成分，并且可以对这些软件成分进行漏洞扫描和风险评估，以及帮助用户及时修复漏洞，提高软件安全性。在金融行业软件供应链安全场景下，软件成分分析产品的应用非常重要。软件供应链安全的风险通常来自于开源组件和其他依赖项中存在的漏洞和安全问题。这些组件往往被多个软件应用程序所使用，一旦存在漏洞，就会影响到

43、整个软件供应链。软件成分分析产品可以帮助企业发现这些漏洞和安全问题，并提供相应的解决方案，以确保软件供应链的安全性。具体来说，软件成分分析产品可以在以下几个方面为金融行业软件供应链安全提供帮助：发现潜在的源洞和安全问题：软件成分分析产品可以检测软件应用程序中使用的开源组件和其他依赖项中的漏洞和安全问题，并提供相应的修复建议。三m:软件成分分析产品可以帮助金融机构识别风险，并评估这些风险对软件供应链的潜在影响。软件成分分析产品可以提高软件供应链的透明度，使金融机构更好地了解其软件应用程序中使用的所有组件和依赖项，并更好地管理这些组件和依赖项的漏洞和安全问题。高德纳认为一种可行的方案是围绕软件物料

44、清单(SBOM)进行安全体系建设。软件物料清单(SBOM)是指一份清单，列出了软件产品中所包含的所有组件及其版本信息。类似于硬件产品的物料清单(BOM)1软件物料清单旨在提供软件开发人员和终端用户对软件组件的透明度和可追溯性。为了更好的进行软件供应链的安全管理，通常对软件物料清单有三类基本要求，分别是：通过满足这些要求，为企业提供必要的信息，用于软件供应链管理。a数据字段软件物料清单的数据字段中必须包括以下七个字段：1 .组件供应商：开发组件的个人或组织名称2 .组件名称：供应商给出的组件名称3 .组件版本：供应商给出的组件版本4 .组件标识符：标识符，如SwID、PUR1.、CPE等5 .依

45、籁关系：与其他组件的组合关系6 .构建人I生成SBoM的个人或组织名称7 .时间生成SBOM的日期与时间通过这些字段，可以把特定组件与漏洞库、许可证库关联。2.软件物料清单物料清单(BillofMateriaIs5BOM)是制造业中最重要的文件之一，文件中描述了制造产品所需的原材料以及数量，以及原材料之间的关系。通过BOM可以了解到产品的组成，围绕BOM可以展开一系列供应链管理活动。在软件供应链领域也有类似的概念，就是软件物料清单(SoftwareBillofMaterials,SBOM)=软件物料清单对软件的组成进行了描述，记录了软件使用的组件信息，以及组件之间的层次关系，是一种助力软件供应

46、链管理的有效实践。咨询公司高德纳(Gartner)在2022年主要安全和风险管理趋势中表示，网络犯罪分子发现攻击数字供应链可以产生高额的回报。随着1.og4j2等漏洞在供应链上的传播，预计会出现更多的威胁。高德纳预测，到2025年全球45%的企业将遭遇软件供应链攻击，相比2021年增加了3倍。为了降低数字供应链风险，企业需要采取新的应对之策，包括进行更加慎重、基于风险的厂商/合作伙伴细分和评分，要求提供安全控制和最佳实践的证明，向弹性思维转变，以及努力走在即将出台的法规之前。2022年网络安全重要趋势1攻击面扩大5网络安全网格2身份系统防御6分布式决策3数字供应链风险7超越意识4厂商整合表4:败字供应搓风险成为主要安全风险iaM7frtaAa1.rl1.lU.C-ItI满足这六方面要求可以更好的把软件物料清单融入管理工作。软件物料清单可以包括开源软件、第三方软件、商业软件和自主开发的代码。它可以被视为一个关键的组成部分，用于识别软件产品中的漏洞和其他安全问题，并对软件产品的安全性进行评估。在实践中，软件物料清单(SBOM)的作用可体现在以下几个方面： 提高安全性：通过软件物料清单，可以追踪软件组件的漏洞和修补情况，