軟件供應鏈安全，必須從“源”頭抓起

2020年底，黑客利用SolarWinds的網管軟件漏洞，攻陷了多家美國聯邦機構及財富500強企業的網絡。這場“太陽風暴”讓人始料未及。時隔一年，2021年底爆發的Log4j漏洞，更被稱為互聯網歷史上破壞力最驚人的漏洞之一。有報告顯示，軟件供應鏈的攻擊在過去三年內增加了742％。人們不禁感嘆：軟件供應鏈安全問題猛如虎！
 
騰訊開發安全高級產品經理劉天勇一針見血地指出，軟件供應鏈安全這個問題其實折射出了開源組件的安全問題。經過幾十年的日積月累，軟件開源化不僅成了一種業界趨勢，更成為一種文化，甚至改變了整個軟件業的面貌。有統計顯示，當前全球90%以上的企業正在直接或者間接，甚至是在無意識中使用著開源技術、開源軟件。保障開源軟件的安全已經成了當務之急。
 
在云計算代，云原生要求軟件的研發再提速，同時容器、微服務、DevOps等新的理念、技術又不斷加入，使得軟件供應鏈變得越來越復雜，安全問題的滋生在所難免。
 
解決軟件供應鏈安全問題之道，還是要從“源”頭抓起：一方面，既然今天黑客更愿意選擇從軟件供應鏈安全的缺口，也就是從軟件開發階段就開始滲透、攻擊，那么我們就要在軟件開發的源頭做好防守；另一方面，針對存在的開源軟件漏洞或組件不可控等問題，我們更要查遺補缺，嚴防死守，不能有一絲懈怠。
 
控制好代碼來源
 
毋庸置疑，云原生是一種更先進的開發和應用模式，其先進性的一個重要體現就是降低了開發的門檻。比如，以前作為一個程序員，必須具有非常全面的能力，既要了解業務需求，又要會寫代碼。而現在，有了容器化、微服務、DevOps等，可能程序員本身就不用再掌握那么多的底層技術、開發技巧，很多時候通過直接調用第三方現成的一些模塊，或公開的開發組件，就能完成特定程序的開發，效率大大提升。不過也正因為如此，程序員不可控的東西增加了，導致危險的來源也同步增加了。
 
站在一家研發企業的角度，解決軟件供應鏈安全問題的關鍵就是控制好代碼來源。尤其是程序員如果在開發過程中直接使用了第三方的開源組件，就要特別小心。因為現在很多開發的過程中都是直接使用標準化、模塊化的工具進行堆疊，所以要對這些開發組件進行必要的安全檢測。
 
而對于一般的用戶來說，則要守好兩條“管道”：一是自己開發的軟件，要做好全流程的安全管控和檢查；二是直接購買的商用軟件或開源軟件，在產品上線前，除了要做好組件的檢測和代碼檢測之外，還要在軟件供應商的資格準入問題上嚴格要求，一絲不茍。
 
劉天勇指出，在國內，不同的行業對于軟件供應鏈安全這個問題的重視、認知程度也不盡相同。以互聯網、金融等為代表的、軟件研發占據相當比重的行業用戶，最近兩三年受到國內外頻發的安全事件的啟示，加快了軟件供應鏈安全建設。
 
其實與商品的供應鏈相比，軟件供應鏈并不是很長，其安全癥結集中而突出，就是能不能完全掌控軟件的所有開發組件。近些年，隨著使用開源組件的范圍越來越廣，頻率越來越高，開源組件的安全問題正源源不斷浮出水面。舉例來說，如果開發一個APP總計有100萬行代碼，其中70%是調用現成的開源組件，那么就意味著這70萬行代碼必須“可信”，否則就可能存在安全隱患。如何能夠有效地監控到這70萬行代碼的安全，對很多普通用戶來說可能是一個棘手的問題。
 
還有一種可能讓用戶更擔心的情況，就是像0day漏洞。安全人員可能發現了某個組件是有安全漏洞的，但留給企業來修補的時間只有一天甚至幾個小時，過了這個窗口期，黑客也許就會大規模地攻入。因此，防御未知漏洞還是一項十分嚴峻的挑戰。
 
安全防線前移
 
以前一提到安全，人們最先想到的就是殺毒軟件、防火墻等。但這些都是在應用部署之后的運行階段所做的防御措施。解決軟件供應鏈安全問題，安全防線還要再前移。這也是業界提出“安全左移”“開發安全”以及DevSecOps等概念的初衷，其本質都是希望在應用上線前就最大程度地消除安全隱患。
 
劉天勇解釋說，安全左移代表的一種技術理念，是將安全的檢測和防御從應用上線之后向左移動。如果將一個軟件的生命周期由左至右來排列，那么最開始是軟件的需求設計，然后是程序員的編碼、測試、發布上線，最后是運營。以前的安全防御集中在運營階段去做，就像是看病，要得了病以后再去醫院治療。而安全左移意味著，要提前做好預防工作，特別是在引入了第三方開發組件的情況下，“安全左移”就更具必要性。
 
而DevSecOps代表著一種研發模式，更多地強調，在這種新的研發模式之下，安全防御手段也要與時俱進做出調整，不管是在開發還是在測試階段，或其他階段，所有人都要為整個應用的安全負責。因為現在應用的研發迭代非?？?，不可能再像以前那樣一道工序接著一道工序按部就班。只有將安全體系的建設放到應用上線之前，才能事半功倍。
 
很多時候，我們在談到開源軟件時，關注的都是對研發效率的提升或其他優勢，比如站在巨人的肩膀上研發，可以省掉大量重復勞動，能夠把更多精力和時間放到攻克技術難關上，更好地實現共享等。但我們容易忽視的是，開源在某種意義上意味著責任不清晰。比如，你在使用開源軟件時，可能免費地拿來就用，一旦其中隱藏著安全隱患，這個責任又該誰來承擔呢？這就涉及到一個嚴肅的話題，即開源組件的權限權益、責任邊界以及如何合理地進行使用。這不是一個單純的技術問題，應該上升到整個公司的研發標準、策略和規范層面，再往上可能會涉及到國家安全。所以，對于開源組件的安全使用一定要有明確的規范和準則。
 
二進制SCA另辟蹊徑
 
既是軟件開發者，同時又是安全解決方案提供商，騰訊的“雙重身份”讓它在軟件供應鏈安全這個問題上看得更加通透，解決起來也更加得心應手。“騰訊在軟件供應鏈安全上有自己獨特的技術思路。”劉天勇如是說。
 
在軟件上線之前，要檢測清楚到底使用了哪些第三方的開源組件，是否存在安全隱患。針對這個問題，業界目前有兩大技術流派。一派是檢測源代碼，即源代碼SCA（Source Code Analyzer，源代碼分析）。大多數主流安全廠商都采用這一思路。
 
騰訊則另辟蹊徑，是從源代碼編譯構建的產物，也就是制品或者說二進制構建產物切入的，是在代碼編譯之后，檢測其編譯后的產物，以得到軟件供應鏈的組成成分。
 
兩者的區別在于，源代碼側技術難度相對較低，但弊端在于，它可能會忽略編譯過程中引入的新問題, 難以解決一些間接依賴問題；而二進制分析技術是編譯之后再去檢測，無需源代碼，使用起來也更簡單，而且可以把在編譯過程中引入的其他問題，如和編譯器相關的軟件供應鏈風險掃描得更全。這也是騰訊選擇走二進制SCA技術路線的原因。
 
“我們之所以選擇二進制SCA這條路線，主要因為騰訊在此領域有比較深厚的技術積累。”劉天勇介紹說，“騰訊安全科恩實驗室積極布局物聯網、車聯網安全，其技術實力和研究成果達到國際領先水平。自2016年以來，實驗室連續5年發布多個知名品牌網聯汽車安全研究成果，助力廠商修復安全問題，并構建全面的安全體系?，F在，將這些技術應用于軟件開發，其本質是一樣的。因此，騰訊安全在二進制SCA方面筑起了高技術壁壘。”
 
目前在國內安全廠商中，騰訊是唯一一家在軟件供應鏈安全實踐中，從制品角度去檢測整個第三方開源組件的廠商。在國外，采用與騰訊相同技術路線的廠商屈指可數，它們有的是從源代碼掃描領域拓展而來，有的本身并不是安全廠商，而是做制品庫管理的。但是異曲同工，二進制SCA是確保軟件供應鏈安全的一條捷徑。
 
保障軟件供應鏈安全，騰訊安全能夠提供包括SCA、SAST等工具在內的一系列檢測產品，同時還可以提供專家咨詢服務，協助客戶落地相關體系。
 
“在DevSecOps的概念之下，騰訊針對廣義的軟件供應鏈安全還能提供更多的創新技術和產品。”劉天勇舉例說，“最近，騰訊安全科恩實驗室就推出了一個模糊測試的解決方案T-fuzz。這樣一來，騰訊在源代碼掃描、開源組件的成分分析測試、模糊測試等幾個維度都有了相應的工具。這些工具再加上專業的咨詢服務，就構成了騰訊軟件供應鏈安全的完整體系。”
 
騰訊自己就是二進制SCA最早的使用者和試驗田。騰訊在其整個DevOps流水線中集成了二進制SCA掃描產品后，在應用上線之前就完成了整個開源組件的檢測。騰訊內部有一個專家團隊，負責實時維護開源組件知識庫，能夠第一時間發現漏洞，并及時通知相關的業務團隊，快速完成應急響應處理。
 
作國中國信息通信研究院軟件供應鏈安全實驗室（3S-Lab）首批成員單位，騰訊安全的二進制SCA產品應用實踐入選了2022中國信通院守衛者計劃——“軟件供應鏈安全”優秀應用案例，這是騰訊安全與上汽集團子公司零束科技開展“產研結合”的重要成果之一。該產品基于先進的二進制軟件成分分析能力，在供應鏈安全管理、軟件生命周期（SDLC）管理、關鍵基礎設施安全、發布合規檢查等各類場景中，實現了已知漏洞掃描、開源軟件審計和敏感信息檢測。同時，騰訊安全的代碼安全檢查工具Xcheck通過了《靜態應用程序安全測試工具能力要求》評估。Xcheck采用創新的技術路線，摒棄了傳統SAST工具主要依賴規則匹配的技術原理，基于成熟的污點分析技術與對抽象語法樹的精準剖解，實現了快速精準的識別代碼風險。
 
新賽道 新標準
 
當前，關于軟件供應鏈安全整個業界還沒有一個統一的標準。2022年上半年成立的“軟件供應鏈安全實驗室（3S-Lab）”，旨在聯合政產學研用多方力量，進行軟件供應鏈安全關鍵技術的研究，同時完善標準體系建設，開展測試評估。包括騰訊在內的很多安全廠商都加入了這一實驗室，致力于聯合推動軟件供應鏈安全產業的發展與創新。據了解，實驗室在成立后，已經發布了一個SBOM軟件物料清單的管理標準，為下一步工作的開展開了一個好頭。
 
“從當前的市場需求和應用場景來看，軟件供應鏈安全還處于早期市場教育階段。對安全比較重視的公司已經在著手填補此領域的空白。而大多數公司還沒有開始行動。”劉天勇表示，在對開源組件進行檢測的過程中，有兩個細節需要特別注意。第一，在發現開源組件存在安全隱患后，應該如何進行修復？因為開源代碼通常不屬于開發者，在發現問題后，只能寄希望于開源組件的擁有者，能夠及時發布更新的版本，然后開發者再進行替換。第二，開源組件如果有未知漏洞，該怎么辦？隨著開源軟件的名氣越大，使用的人越多，如果開源組件有未知漏洞，那么可能造成的危害就越大。“0day漏洞，再加上軟件供應鏈安全這個‘放大器’，危害結果很可能是1+1＞2。Log4j之所以震驚世界，也是與此相關。”劉天勇解釋說。
 
騰訊安全非?？春密浖湴踩@條新賽道，這將是一個巨大的增量市場，也能夠充分體現騰訊安全的核心競爭力。騰訊安全已經在該領域處于領先地位，其產品的可行性、可靠性也得到了市場的全面驗證。下一步，就是要開展大規模的商業應用。
 
“從公司內部自研自用的產品，到全面走向市場的適用于各行各業的標準化產品，我們在軟件供應鏈安全產品層面，還有很多標準化的工作要持續做下去。產品完善的過程需要循序漸進，不可能一蹴而就。”劉天勇表示，“未來，我們會不斷加強軟件供應鏈安全方面的防御對策和手段，并在行業標準的制定上貢獻自己的力量。”