在“軟件供應(yīng)鏈攻擊”成為家喻戶曉的詞句之際，最近在 Apache Log4J中發(fā)現(xiàn)的漏洞給開發(fā)人員和軟件消費(fèi)者敲響了警鐘：盲目信任第三方軟件的時代已經(jīng)結(jié)束。

Log4J 中的漏洞用于從 Minecraft 到運(yùn)行 Apple 的 iCloud 和 Amazon Web Services 的基礎(chǔ)設(shè)施服務(wù)器等應(yīng)用程序，允許攻擊者控制運(yùn)行此日志記錄實(shí)用程序某些版本的設(shè)備。這是一系列軟件供應(yīng)鏈攻擊中的最新一次，包括 SolarWinds、REvil 和 Urgent/11。

面對這些安全威脅，開發(fā)人員不斷地被迫以速度和效率交付應(yīng)用程序，這導(dǎo)致更多地使用第三方代碼和開源庫，例如 Log4J。為了避免犧牲安全性，組織越來越依賴能夠生成軟件物料清單 (SBOM) 的技術(shù)，該清單對軟件應(yīng)用程序的內(nèi)容及其包含的任何相關(guān)漏洞進(jìn)行編目。

與企業(yè)中的任何物料清單一樣，SBOM 定義了成品的組成部分，因此如果檢測到問題，可以修復(fù)根本原因，同時最大限度地減少中斷。SBOM 被公認(rèn)為軟件供應(yīng)鏈安全的基礎(chǔ)；它們允許開發(fā)人員構(gòu)建更安全的應(yīng)用程序，為安全團(tuán)隊(duì)提供威脅情報(bào)，并使 IT 部門能夠維護(hù)更具彈性的環(huán)境。

SBOM 的三個“D”

SBOM 在軟件開發(fā)生命周期 (SDLC) 的三個不同階段（開發(fā)、交付和部署）提供有價值的見解，如下所述。

開發(fā)：從頭開始構(gòu)建程序是昂貴的、耗時的，并且對于必須以業(yè)務(wù)速度和預(yù)算進(jìn)行移動的組織來說根本不切實(shí)際。在過去的五年中，物聯(lián)網(wǎng)項(xiàng)目內(nèi)部開發(fā)代碼的使用率已縮減至 50%，沒有理由認(rèn)為它不會繼續(xù)進(jìn)一步下降。

最終設(shè)計(jì)中的軟件代碼百分比。（來源：VDC Research）

開發(fā)人員必須使用第三方和開源組件來跟上進(jìn)度，雖然將組件測試集成到工作流中是一種最佳實(shí)踐，但開發(fā)人員通常會繼續(xù)信任。在此階段生成 SBOM 可以讓開發(fā)團(tuán)隊(duì)對這些組件有更多的了解，因此他們可以發(fā)現(xiàn)任何可能潛伏的已知（N 日）或零日漏洞，并確保他們使用的是許可和更新版本的程序。

定期分析組件并生成 SBOM 可以讓開發(fā)團(tuán)隊(duì)確信他們正在滿足質(zhì)量和安全標(biāo)準(zhǔn)，同時使他們能夠主動管理他們的組件庫。

交付：在 Covid 大流行期間出現(xiàn)的網(wǎng)絡(luò)犯罪激增使安全成為焦點(diǎn)，因此軟件開發(fā)團(tuán)隊(duì)和供應(yīng)商都在提供符合更嚴(yán)格標(biāo)準(zhǔn)的產(chǎn)品。今天使用的太多軟件可能會成為潛伏在其第三方代碼中的未知漏洞的犧牲品，因此需要徹底檢查新產(chǎn)品以符合質(zhì)量保證標(biāo)準(zhǔn)。當(dāng) Osterman Research 分析商業(yè)現(xiàn)成軟件時，發(fā)現(xiàn)所有程序都有開源組件和漏洞；85% 的開源組件存在嚴(yán)重漏洞。

在發(fā)布和部署之前，編譯后的軟件應(yīng)通過安全保證檢查以生成 SBOM。在這個階段，掃描可以識別開源的使用并檢查需要修復(fù)或緩解的任何漏洞。這是確保向市場發(fā)布的軟件盡可能安全且沒有已知漏洞的關(guān)鍵步驟，全面要求它只是時間問題。

為應(yīng)對最近的供應(yīng)鏈網(wǎng)絡(luò)攻擊而發(fā)布的2021 年總統(tǒng)網(wǎng)絡(luò)安全行政命令將 SBOM 列為有效的網(wǎng)絡(luò)安全工具。該命令要求最終與聯(lián)邦政府合作的軟件供應(yīng)商的 SBOM 將作為其通過美國商務(wù)部國家標(biāo)準(zhǔn)與技術(shù)研究所向所有企業(yè)推薦的最佳實(shí)踐指南的一部分。與此同時，許多行業(yè)在交付醫(yī)療設(shè)備和基礎(chǔ)設(shè)施控制等關(guān)鍵產(chǎn)品時已經(jīng)開始需要 SBOM。

部署：從辦公室打印機(jī)到現(xiàn)在通過物聯(lián)網(wǎng) (IoT) 連接的關(guān)鍵系統(tǒng)的一切，發(fā)現(xiàn)和利用漏洞的攻擊面要大得多。隨著越來越多的流程數(shù)字化，公司正在將越來越多的預(yù)算投入到運(yùn)行它們所需的軟件上。Gartner 預(yù)測，到 2022 年，企業(yè)軟件支出將接近6700 億美元，每年增長 11.5%。

軟件開發(fā)人員和供應(yīng)商正在改進(jìn)交付安全軟件的實(shí)踐，但企業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)最終要負(fù)責(zé)確保部署的商業(yè)軟件是安全的。他們必須信任，但要驗(yàn)證并生成自己的 SBOM。

通過分析購買的軟件，信息安全團(tuán)隊(duì)可以了解他們的組織已經(jīng)使用或考慮使用的軟件。這可以幫助他們改善安全狀況，做出更明智的決策，并在出現(xiàn)另一個漏洞（例如 Log4j）時加快威脅響應(yīng)速度。

幸運(yùn)的是，借助軟件組合分析 (SCA) 技術(shù)，幾乎任何組織都可以創(chuàng)建 SBOM。這些工具可以通過源代碼或二進(jìn)制分析生成 SBOM。二進(jìn)制 SCA 工具分析編譯后的代碼，即組織交付和部署的實(shí)際完成的軟件。這給了他們一個優(yōu)勢，因?yàn)樗麄兛梢栽诓辉L問源代碼的情況下運(yùn)行，并掃描應(yīng)用程序中的軟件組件、庫和包以生成 SBOM。

隨著供應(yīng)鏈攻擊的頻率和復(fù)雜程度不斷提高，在識別和減輕組織開發(fā)、交付或部署的軟件中的安全風(fēng)險(xiǎn)方面，SBOM 提供的價值不容小覷。

審核編輯 黃昊宇