在“軟件供應(yīng)鏈攻擊”成為家喻戶曉的詞句之際，最近在 Apache Log4J中發(fā)現(xiàn)的漏洞給開發(fā)人員和軟件消費(fèi)者敲響了警鐘：盲目信任第三方軟件的時(shí)代已經(jīng)結(jié)束。

Log4J 中的漏洞用于從 Minecraft 到運(yùn)行 Apple 的 iCloud 和 Amazon Web Services 的基礎(chǔ)設(shè)施服務(wù)器等應(yīng)用程序，允許攻擊者控制運(yùn)行此日志記錄實(shí)用程序某些版本的設(shè)備。這是一系列軟件供應(yīng)鏈攻擊中的最新一次，包括 SolarWinds、REvil 和 Urgent/11。

面對(duì)這些安全威脅，開發(fā)人員不斷地被迫以速度和效率交付應(yīng)用程序，這導(dǎo)致更多地使用第三方代碼和開源庫(kù)，例如 Log4J。為了避免犧牲安全性，組織越來越依賴能夠生成軟件物料清單 (SBOM) 的技術(shù)，該清單對(duì)軟件應(yīng)用程序的內(nèi)容及其包含的任何相關(guān)漏洞進(jìn)行編目。

與企業(yè)中的任何物料清單一樣，SBOM 定義了成品的組成部分，因此如果檢測(cè)到問題，可以修復(fù)根本原因，同時(shí)最大限度地減少中斷。SBOM 被公認(rèn)為軟件供應(yīng)鏈安全的基礎(chǔ)；它們?cè)试S開發(fā)人員構(gòu)建更安全的應(yīng)用程序，為安全團(tuán)隊(duì)提供威脅情報(bào)，并使 IT 部門能夠維護(hù)更具彈性的環(huán)境。

SBOM 的三個(gè)“D”

SBOM 在軟件開發(fā)生命周期 (SDLC) 的三個(gè)不同階段（開發(fā)、交付和部署）提供有價(jià)值的見解，如下所述。

開發(fā)：從頭開始構(gòu)建程序是昂貴的、耗時(shí)的，并且對(duì)于必須以業(yè)務(wù)速度和預(yù)算進(jìn)行移動(dòng)的組織來說根本不切實(shí)際。在過去的五年中，物聯(lián)網(wǎng)項(xiàng)目?jī)?nèi)部開發(fā)代碼的使用率已縮減至 50%，沒有理由認(rèn)為它不會(huì)繼續(xù)進(jìn)一步下降。

最終設(shè)計(jì)中的軟件代碼百分比。（來源：VDC Research）

開發(fā)人員必須使用第三方和開源組件來跟上進(jìn)度，雖然將組件測(cè)試集成到工作流中是一種最佳實(shí)踐，但開發(fā)人員通常會(huì)繼續(xù)信任。在此階段生成 SBOM 可以讓開發(fā)團(tuán)隊(duì)對(duì)這些組件有更多的了解，因此他們可以發(fā)現(xiàn)任何可能潛伏的已知（N 日）或零日漏洞，并確保他們使用的是許可和更新版本的程序。

定期分析組件并生成 SBOM 可以讓開發(fā)團(tuán)隊(duì)確信他們正在滿足質(zhì)量和安全標(biāo)準(zhǔn)，同時(shí)使他們能夠主動(dòng)管理他們的組件庫(kù)。

交付：在 Covid 大流行期間出現(xiàn)的網(wǎng)絡(luò)犯罪激增使安全成為焦點(diǎn)，因此軟件開發(fā)團(tuán)隊(duì)和供應(yīng)商都在提供符合更嚴(yán)格標(biāo)準(zhǔn)的產(chǎn)品。今天使用的太多軟件可能會(huì)成為潛伏在其第三方代碼中的未知漏洞的犧牲品，因此需要徹底檢查新產(chǎn)品以符合質(zhì)量保證標(biāo)準(zhǔn)。當(dāng) Osterman Research 分析商業(yè)現(xiàn)成軟件時(shí)，發(fā)現(xiàn)所有程序都有開源組件和漏洞；85% 的開源組件存在嚴(yán)重漏洞。

在發(fā)布和部署之前，編譯后的軟件應(yīng)通過安全保證檢查以生成 SBOM。在這個(gè)階段，掃描可以識(shí)別開源的使用并檢查需要修復(fù)或緩解的任何漏洞。這是確保向市場(chǎng)發(fā)布的軟件盡可能安全且沒有已知漏洞的關(guān)鍵步驟，全面要求它只是時(shí)間問題。

為應(yīng)對(duì)最近的供應(yīng)鏈網(wǎng)絡(luò)攻擊而發(fā)布的2021 年總統(tǒng)網(wǎng)絡(luò)安全行政命令將 SBOM 列為有效的網(wǎng)絡(luò)安全工具。該命令要求最終與聯(lián)邦政府合作的軟件供應(yīng)商的 SBOM 將作為其通過美國(guó)商務(wù)部國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所向所有企業(yè)推薦的最佳實(shí)踐指南的一部分。與此同時(shí)，許多行業(yè)在交付醫(yī)療設(shè)備和基礎(chǔ)設(shè)施控制等關(guān)鍵產(chǎn)品時(shí)已經(jīng)開始需要 SBOM。

部署：從辦公室打印機(jī)到現(xiàn)在通過物聯(lián)網(wǎng) (IoT) 連接的關(guān)鍵系統(tǒng)的一切，發(fā)現(xiàn)和利用漏洞的攻擊面要大得多。隨著越來越多的流程數(shù)字化，公司正在將越來越多的預(yù)算投入到運(yùn)行它們所需的軟件上。Gartner 預(yù)測(cè)，到 2022 年，企業(yè)軟件支出將接近6700 億美元，每年增長(zhǎng) 11.5%。

軟件開發(fā)人員和供應(yīng)商正在改進(jìn)交付安全軟件的實(shí)踐，但企業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)最終要負(fù)責(zé)確保部署的商業(yè)軟件是安全的。他們必須信任，但要驗(yàn)證并生成自己的 SBOM。

通過分析購(gòu)買的軟件，信息安全團(tuán)隊(duì)可以了解他們的組織已經(jīng)使用或考慮使用的軟件。這可以幫助他們改善安全狀況，做出更明智的決策，并在出現(xiàn)另一個(gè)漏洞（例如 Log4j）時(shí)加快威脅響應(yīng)速度。

幸運(yùn)的是，借助軟件組合分析 (SCA) 技術(shù)，幾乎任何組織都可以創(chuàng)建 SBOM。這些工具可以通過源代碼或二進(jìn)制分析生成 SBOM。二進(jìn)制 SCA 工具分析編譯后的代碼，即組織交付和部署的實(shí)際完成的軟件。這給了他們一個(gè)優(yōu)勢(shì)，因?yàn)樗麄兛梢栽诓辉L問源代碼的情況下運(yùn)行，并掃描應(yīng)用程序中的軟件組件、庫(kù)和包以生成 SBOM。

隨著供應(yīng)鏈攻擊的頻率和復(fù)雜程度不斷提高，在識(shí)別和減輕組織開發(fā)、交付或部署的軟件中的安全風(fēng)險(xiǎn)方面，SBOM 提供的價(jià)值不容小覷。

審核編輯 黃昊宇