软件透明度

供应链攻击规避了传统的外围防御，使其对攻击者非常有吸引力。组织在防火墙、入侵防御和访问控制方面投入了大量资金。这些保护措施是针对直接针对组织基础结构的“推送”式攻击的防御措施。供应链攻击助长了一...

威胁建模是一个经常被谈及的主题，但根据作者的经验，大多数组织很少在实践中执行。作为一个行业，我们经常以相当通用的方式讨论威胁，而从未探索正确建模这些威胁所需的软件或系统的背景。然而，这些活动的核...

如果不讨论 SolarWinds 网络攻击，那么现代软件供应链安全事件的讨论就不完整。SolarWinds 是市场上最大的数字系统管理工具提供商之一。2019 年，SolarWinds 开始遭受...

虽然 SolarWinds 网络攻击是针对软件供应商的，但 Log4j 事件却大不相同，因为它针对的是广泛使用的开源软件 (OSS)。Log4j 事件于 2021 年 12 月 9 日开始引起公...

另一个值得讨论的非常突出的软件供应链攻击是 Kaseya 勒索软件攻击。Kaseya (http://kaseya.com) 是一家统一的 IT 管理和安全软件公司，专门为托管服务提供商 (MS...

从这些案例中得出的最重要的结论是，专注于传统的“最后一英里”防御措施（如散列和代码签名）是远远不够的，而且可能会给人一种虚假的安全感。最成功的攻击发生在这些过程的上游，签署恶意代码可能比根本不签...

在本章中，我们讨论了软件供应链威胁的背景以及攻击者的一些相关诱因。我们还讨论了软件供应链攻击的潜在结构。我们介绍了威胁建模的基础知识及其在防止软件供应链攻击中可以发挥的作用。最后，我们讨论了一些...

首先，这些评估面临着巨大的潜在挑战。企业每年如何进行数百甚至数千次评估来执行风险管理计划？最常见的方法是利用一份标准问卷，将其发送给所有供应商，向他们提出相同的问题，以便将供应商相互比较。但哪些...

软件开发生命周期（Software Development Life Cycle，SDL）评估更侧重于了解供应商的流程。虽然这个框架可能类似于传统的供应商风险评估，但通常由合格的应用安全顾问进行...

与SDL评估类似，查看诸如构建安全成熟度模型（Building Security in Maturity Model，BSIMM）或软件保证成熟度模型（Software Assurance Ma...

传统上，应用程序安全实践集中在应用程序测试的概念上，我们在这里称之为应用程序安全保证。在这里，应用程序安全超越了治理和流程等较软的主题，旨在回答有关应用程序技术风险的问题。我们在这里讨论五种主要...

使用加密验证的历史可以追溯到几十年前，通过诸如MD5和SHA-256之类的算法构建单向哈希。其理念是由于这是不可逆的加密，不能被操控，并且因为哈希理论上应该是唯一的，可以用于表示文件的完整性。如...

在本章中，我们讨论了一些与传统供应商风险评估、第一方与第三方证明挑战以及应用程序成熟度模型相关的历史背景。我们还讨论了一些常见的应用保障和安全措施工具和方法，以识别并促进缓解应用程序中的漏洞和缺...

“公共漏洞与暴露”（CVE）是一个项目，旨在识别、定义和编目公开披露的影响软件或硬件的网络安全漏洞。作为一个组织，CVE涉及国际研究人员和组织的参与，这些合作伙伴帮助发现和发布漏洞，并以标准化格...

漏洞有助于指导软件生产者和消费者降低风险，并为行业提供广泛的关于生态系统中存在的漏洞的知识。虽然行业中有多个漏洞数据库，但最著名的例子之一是NIST的国家漏洞数据库（NVD; https://n...

推动软件供应链安全性和软件透明度的一个基本方面是需要有效的方法来识别软件组件，包括拥有足够的信息来唯一地识别每个软件组件。然而，这种需求远不是一个微不足道的问题，因为软件领域由数千个不同的软件供...

随着OSS的采用不断增长，并日益对现代应用程序和产品的重要部分做出贡献，人们越来越需要了解与OSS组件相关的风险。超声型OSS指数已经成为一个帮助解决这个问题的著名来源。该索引提供了数百万个OS...

2021年，谷歌安全发布了（https://security.googleblog.com/2021/02/ launching-osv-better-vulnerability.html）开源...

尽管 CVE 计划得到了广泛采用，但许多人指出该计划存在问题，其方法以及无法跟上动态技术格局。随着云计算的兴起，云安全联盟 (CSA；https://cloudsecurityalliance....

虽然CVE计划提供了一种识别和记录漏洞的方法，NVD丰富了CVE数据并将其呈现在一个强大的数据库中，但通用漏洞评分系统（CVSS）则评估安全漏洞的严重性并分配严重性分数。CVSS致力于捕捉软件、...

基于对CVSS的批评，一些人呼吁使用漏洞预测评分系统（Exploit Prediction Scoring System, EPSS）或将CVSS与EPSS结合，以使漏洞指标更具可操作性和效率。...

EPSS旨在帮助安全从业者及其组织改进漏洞优先级排序工作。在当今的数字环境中，识别出的漏洞数量呈指数增长，这一数量因系统和社会的数字化程度提高、对数字产品的审查增加以及研究和报告能力的提高而不断...

与CVSS类似，EPSS也受到业界和学术界的批评。卡内基梅隆大学软件工程研究所（SEI）博客上的一篇文章《Probably Don’t Rely on EPSS Yet》（https://ins...

随着关于漏洞优先级排序和管理的讨论日益激烈，像CISA这样的组织也对此发表了看法。2022年11月发表的一篇题为《Transforming the Vulnerability Managemen...

CISA 指导意见优先考虑的步骤包括使用 CSAF 自动化安全公告，并通过 VEX 等资源告知软件消费者漏洞利用的影响。然而，同时也明确指出，需要主观的网络安全专业知识，尤其是在复杂的决策树中。...

在本章中，我们了解了行业漏洞数据库和评分方法。这包括传统漏洞数据库及其潜在的局限性，以及整个漏洞生态系统中新兴的数据库。我们还审视了常见的软件身份格式及其带来的挑战，以及为缓解这些挑战所提出的解...

尽管行业内可能存在一系列与软件物料清单 (SBOM) 相关的动态，但达到当前这一点是经过了多年的努力，涉及了各种政府和行业组织的参与。最值得注意的是，最近的 SBOM 动态发生在国家电信和信息管...

为应对特定行业的需求，几个概念验证（PoC）小组作为NTIA SBOM研讨会的一部分被建立。医疗PoC至少经历了三次迭代，此外还成立了汽车PoC和其他几个小组。这些小组中有些对公众开放，有些仅限...

为使 SBOM 的采用标准化和成熟化，各方努力围绕几种主要的 SBOM 格式开展工作。迄今为止，三种主要的 SBOM 格式是软件识别 (SWID) 标签、CycloneDX 和软件包数据交换 (...

正如我们所讨论的，SBOM 计划从 NTIA 转移到网络安全基础设施安全局 (CISA)，与此同时 SBOM 的倡导者和领导者 Allan Friedman 也转移到了 CISA。自此之后，CI...

SBOM 只是一种证明；它是一份包含其内部声明证据的文件。它通过附加到这些声明上的加密验证的质量和真实性得以强化。因此，通过数字签名将 SBOM 连接在一起的概念变得可行，这使得即使是不完整的 ...

在本章中，我们讲述了 SBOM 的兴起，以及其从 NTIA 等机构开始的早期努力，现阶段则转移至美国联邦的 CISA。我么讨论了不同的 SBOM 格式，还提到了 VEX 概念的出现，这有助于减少...

  我们将这一类别分为几个讨论领域：作为操作系统的固件、嵌入式设备的固件，以及 SBOM 在某些特定设备场景（如医疗设备）中的应用。 Linux 固件 作为操作系统的固件，特别是 Linux 固...

在软件领域，代码主要分为两类——开源软件（OSS）和专有软件——这使得讨论软件供应链中的透明性变得复杂。OSS 与任何人都可以查看、使用和贡献 OSS 代码有明显不同。尽管存在一些所谓的“源代码...

用户软件与设备固件或用于管理网络和安全的企业级产品相比，往往带来截然不同的视角。通常情况下，这些软件被认为不是关键性的，因此常常未能引起足够的关注。然而，用户软件和常见工具却经常成为攻击的目标。...

如果我们看看开源生态系统中为解决供应链问题而推出的所有优秀项目，包括现代应用开发框架和工具，这无疑展现了一个特别乐观的前景。但是，这对于遗留软件意味着什么呢？ 特别是在关键基础设施或国防领域——...

在供应链风险管理的核心是信任的概念，或信任的验证。这包括对软件来源或出处的信任，相信它不包含超出我们风险容忍度的组件或库，相信在到达我们之前没有发生变化，相信我们即将安装的是我们所预期的产品。 ...

总结起来，尽管推动软件透明度背后有着巨大的动力，但仍然有几个问题需要解决，而这些问题的解决可能具有挑战性。在本章中，我们讨论了一些问题，如嵌入式和遗留软件、开源软件及其各种许可类型，以及数据传输...

如果不涉及共享责任模型 (SRM)，关于云的安全性和风险的讨论就不完整。许多企业领导者仍然会问“云安全吗？”，这是一个错误的问题。更合适的问题是“作为安全团队和组织，我们是否确保了我们在云消费中...

将云原生生态系统情境化的一种有用方法是通过 Kubernetes 文档中描述的“云原生安全 4C”，此处讨论的图 6.2 中所示的容器编排器。 图6.2 在此特定于容器及其编排的上下文中，您拥有...

云原生生态系统延续了物理服务器和虚拟机 （VM） 等传统计算模型，广泛使用容器。因此，当涉及到容器及其相关的编排系统（如 Kubernetes）时，我们必须讨论容器和相关的软件供应链问题。 随着...

容器编排通常被定义为自动执行操作工作以运行容器化工作负载和服务。虽然有几种潜在的容器编排工具可供选择，但 Kubernetes 在采用和使用方面无疑是行业领导者 （https://kuberne...

在VMs和容器的计算抽象和演化的基础上，一些组织根据它们的用例进一步采取了他们的采用过程，并已经开始使用所谓的无服务器模型。更高级的说法是，无服务器模型允许开发团队构建和运行云本地的应用程序，而...

为所包含的实体创建一个SBOM可能会很复杂，例如在本地交付的软件或容器映像。为具有云和SaaS等无数相互关系的动态且快速变化的环境创建SBOM可能是另一个级别的难度。 关于SaaS的SBOM的概...

随着云和云原生架构的出现并继续流行，另一个趋势发生了：从传统的瀑布式软件开发到DevOps时代，或者最近的DevSecOps时代的转变。在不进行哲学辩论的情况下，DevOps可以概括为一套弥合软...

总之在《2022年DevOps状态报告》中、DORA团队的软件工件供应链水平（SLSA）和NIST的SSDF确定了与保护软件供应链相关的流程和实践。我们探讨了DevOps和DevSecOps为何...

  随着软件供应链攻击的增加，很明显，需要一个全面的端到端框架来定义软件供应链袭击和缓解方法。2021年6月，谷歌开源安全团队推出了软件工件（SLSA）工作该工作的目标是确保软件工件的完整性在整...

  在SLSA框架的一个巧妙命名的后续行动中，谷歌与花旗和普渡大学等合作伙伴还宣布了一项名为“理解工件组成图”（GUAC）的开源软件（OSS）工作，如图7.5所示。根据他们的声明，“GUAC解决...

随着行业不断成熟的软件供应链实践，我们看到了NIST、开源安全基金会（OpenSSF）和互联网安全中心（CIS）等组织的指导。在本节中，我们将讨论最近发布的CIS软件供应链安全指南（https:...

在有关软件供应链安全的讨论中经常引用的另一个行业指导来源是 CNCF 的软件供应链最佳实践白皮书 https://github.com/cncf/tag-security/blob/main/s...

  对许多人来说，将软件生产与工厂这一术语联系起来可能看起来有些奇怪。大多数人仍将工厂与收集、处理和制造物理材料如钢铁、汽车或消费电子产品联系在一起。然而，讽刺的是，现代大多数工厂环境的运作依赖...

  作为开源软件（OSS）的主要贡献者和消费者之一，微软推出了一个名为安全供应链消费框架（Secure Supply Chain Consumption Framework，S2C2F）的软件供...

  如前所述，S2C2F包括一系列解决方案和供应商无关的实践，这些实践可以帮助组织确保其开源软件供应链的安全使用。合规、安全、工程管理人员以及首席信息安全官（CISO）等领导者可以参考这些实践，...

如图 7.12 所示，与 SLSA 等其他框架一样，S2C2F 也围绕四个成熟度级别展开，从最基本的开放源码软件治理一直到高级威胁防御，每个级别都有自己的相关活动。 第1 级包括基本活动，如内部...

与 NIST 的安全软件开发框架（SSDF）等由政府组织创建的框架不同，OWASP 的软件组件验证标准（SCVS）是一项由社区推动的工作，重点关注软件供应链。它主要通过确定可在整个软件供应链生命...

每个人都知道Marc Andreessen在十多年前提出的“软件正在吞噬世界”(https://a16z.com/2011/08/20/why-softw-is-eating-the-world...

虽然开源软件提供了巨大的好处，但许多关注和研究发现，自由/开源软件开发人员在很大程度上没有优先考虑安全性。Linux基金会的OpenSSF和哈佛大学创新科学实验室的一项研究发现，自由/开源软件开...

在本章中，我们讨论了现有的和新兴的软件供应链安全指南。这包括SLSA的努力以及来自微软、CNCF和其他机构的资源。在下一章中，我们将讨论来自政府实体的现有和新出现的指导意见。

2020年初，美国国家标准与技术研究院(NIST)首次发布了特别出版物(SP) 800-161，“系统和组织的网络安全供应链风险管理(C-SCRM)实践”。然而，与本书中讨论的许多其他资源一样，...

NIST 网络行政命令第 4 部分指南的另一个关键组成部分是发布指南，为供应商测试其源代码推荐最低标准。它包括手动和自动测试，例如代码审查工具、静态应用程序安全测试 (SAST)、动态应用程序安...

正如本书的几个部分所讨论的那样，网络安全行政命令 (EO) 14028 对零信任、云计算以及软件供应链安全等领域产生了广泛影响。作为网络安全行政命令的一部分，政府必须“只购买安全开发的软件”。行...

EO 14028最引人注目的举措之一就是采取行动来界定“关键软件”。正如我们之前讨论过的，这些定义可能很难搞清楚。有人可能会认为所有的软件都有潜力成为关键软件，关键在于如何使用它。我们过去使用的...

同样，正如我们之前所讨论的，这些软件中的很多都非常陈旧 在验证传统产品时也会遇到类似的挑战。OT 系统的一个主要特点是需要有弹性。著名的 ICS 安全专家丹尼尔-艾伦瑞克（Daniel Ehre...

可编程逻辑控制器 (PLC)、远程终端装置 (RTU) 和类似的 OT 设备可运行基本的自动化程序。通常使用梯形逻辑、功能块图或其他方法进行编程。它们描述了一系列输入和输出，包括用于决策的逻辑或...

如前所述，与企业 IT 相比，ICS 的攻击面通常最小。大多数环境都被严格分割，能源部在《2020财年国防授权法案》第5726条的指导下，通过安全能源基础设施执行任务组（Security Ene...

智能电网是传统电网的现代化、数字化版本，它使用先进技术来提高电力系统的效率、可靠性和灵活性。它使用传感器、通信网络和控制体系来监测和控制电力的流动，从而实现可再生能源的整合和需求管理。这使得分布...

在这一章中，我们讨论了软件的行为效应以及可能对社会产生的物理影响。我们也涉及到了与工业控制系统中的遗留软件和梯形逻辑相关的风险。我们进一步探讨了工业控制系统攻击面的性质及其对关键基础设施、国防和...

如前所述，SSDF 呼吁各组织实施合理的实践，以帮助实现安全的软件开发。它将这些实践分为四组：组织准备、保护软件、生产安全可靠的软件和应对漏洞。这四组中的一个关键主题是组织和供应商披露和应对影响...

另一项与 SSDF 和产品与软件供应商行业最佳实践相关的重要建议是建立产品安全事故响应小组（PSIRT）。PSIRT 类似于网络安全事件响应小组 (CSIRT)，但 PSIRT 并不是面向内部的...

在推动软件透明度的过程中，软件供应商可能会发现自己会问的一件事是，他们到底需要共享什么，或者他们是否应该共享这些数据。虽然每个组织的决策过程和分析看起来都不同，但有一点是明确的，由于软件供应链攻...

正如我们在第 5 章“软件透明度的挑战”中所讨论的，许可也是许多供应商关注的一个关键问题，特别是当它与开放源码软件及其应用的许可有关时。许多软件供应商可能关注的一种许可方法就是所谓的 Copyl...

正如我们所讨论的，各种形状、规模和行业的组织都在拥抱开源软件（OSS）。金融、医疗和制造业，甚至国家安全，现在都使用OSS来支持其最关键的应用和活动。这包括软件供应商，他们通常使用OSS作为其产...

如果不能在组织的各个产品团队中一致地实施，那么推动软件透明度和提供 SBOM 和证明等工件就不可能有效。对于非常大的组织或具有全球影响力的组织来说，拥有多个产品团队的情况并不少见，其中一些团队拥...

供应商必须考虑的一个关键点是自动化的作用与提供给消费者的信息准确性的需求形成鲜明对比。对于大型软件公司来说，进行软件保障成为一种可扩展性的练习，尤其是那些在数百甚至数千个软件产品中部署计划非常快...

在本章中，我们鼓励消费者广泛而深入地思考软件供应链安全的挑战以及 SBOM 的作用。我们解释了为什么组织需要或应该希望 SBOM 以及更广泛地说，供应商的软件透明度，以及如何使用 SBOM 并大...

虽然本章关于消费者指南的内容包括与软件物料清单 （SBOM） 相关的讨论和建议，但我们想强调的是，SBOM 只是软件供应链安全更广泛讨论中的一种新兴工具和资源。然而，鉴于其对行业的高度关注，我们...

随着围绕 SBOM 的所有炒作和混乱，一些软件消费者可能会问自己是否需要 SBOM。当然，虽然软件行业几十年来一直没有使用 SBOM，但这并不意味着没有挑战，而且随着 OSS 和第三方组件的使用...

你已经从软件供应商那里收到了SBOM，或者基于内部开发工作开始创建SBOM。现在，如何让这些SBOM变得有价值且可操作？ 正如我们之前讨论的，SBOM在多种应用场景中具有价值，例如漏洞管理、依赖...

虽然单独来看，SBOM的概念及其用于揭示产品所涉及的软件组件和被消耗的软件组件的用途显得合乎逻辑，但在大型企业环境中跨越数百或数千个开发团队和众多第三方软件供应商的大规模实施，这个想法很快就会变...

拥有SBOM是一个很好的开始，但如果没有关于漏洞实际可利用性的上下文信息，它很大程度上会成为额外的噪声，增加消费者及其各种利益相关者的负担。因此，获取关于软件组件的详细信息（例如可利用性）是关键...

正如我们在前面的部分中讨论的那样，现实情况是，尽管供应商的软件和产品中存在漏洞，但消费者通常无法简单地获取可用的修复补丁。 这可能是由于供应商面临的资源限制、修补和纠正时间表、竞争性功能积压，或...

在本章中，我们为软件消费者提供了实用的指导，包括广泛而深入地思考其软件消费的范围以及相关的各种来源和潜在攻击向量。我们还讨论了软件物料清单（SBOM）的出现及其对软件消费者的意义，同时强调了一些...

在新兴法规和要求方面，现在应该清楚的是，世界各国政府都意识到了软件对其机构、组织和整个社会的重要性。软件已与现代社会的几乎每个方面密不可分，从简单的日常休闲活动到最关键的基础设施和国家安全，无所...

虽然数字因来源而异，但不可否认，美国政府的IT和软件支出市场意义重大。来源估计，美国联邦政府在2023财年的预算超过650亿美元（www.whitehouse.gov/wp-cont/uploa...

虽然我们在第1章“软件供应链威胁的背景”中讨论过一些指标，但在本文结束之际，我们认为再次强调软件供应链攻击的趋势只会继续加速是有必要的。这是由于多种因素造成的，例如现代数字环境和生态系统的复杂性...

社会上最明显的趋势之一是数字连接设备的快速持续增长。正如我们整本书多次说到的，我们社会几乎每一个方面都与数字连接设备和软件相关联，从无害的生活用品（例如：家庭设备、智能手表和医疗设备等）到关键基...

预测未来是非常困难甚至不可能的，但对软件透明度日益增长的推动几乎是可以感受到的。易受攻击软件对普通公民、政府和社会构成的风险再也无法忽视。 软件深入到从我们最基本的个人奢侈活动到我们最关键的基础...