新闻详情

News

云和软件安全大会召开，软件供应链安全治理至关重要

新闻动态

2024-07-05

2024年7月3日，全球数字经济大会云和软件安全论坛暨第二届SecGo云和软件安全大会在北京召开，汇聚了国内外顶尖专家与行业领袖，共同探讨软件供应链安全的最新动态与挑战。会议围绕软件供应链安全治理的核心议题，深入交流了最佳实践与前沿技术，为推动软件供应链安全的普及与应用注入了强劲动力。

一、软件供应链安全是数字化时代的紧迫课题

在数字化进程中，软件作为信息技术的核心载体，不仅是驱动产业升级的关键力量，更是构建数字经济体系的基础支撑。然而，随着软件应用的广泛深入，软件供应链的安全问题日益凸显，成为威胁数字安全的重要隐患。软件供应链生命周期长、环节复杂、暴露面多，上中下游任何一个薄弱点都有可能被攻击者利用，进而发起对整个软件系统的攻击，而软件供应链相关的工作机制和流程规范的缺乏、软件供应商安全管控的不足、开源组件漏洞修复的困难软件供应链安全能力建设的不完善以及软件供应链安全态势持续监控的滞后，都导致如今软件供应链的安全形式更加严峻。

面对日益复杂的网络环境和层出不穷的安全挑战，加强软件供应链安全治理，确保软件全生命周期的安全可控，已成为保障数字经济健康发展的当务之急。

二、软件供应链安全治理压力大

1. 合规要求提升

软件供应链安全事件数量的激增，危害性越来越严重，为了有效应对软件供应安全事件，我国近年来不断出台相关法律法规和标准，逐步完善供应链安全管理工作。

2021 年正式公布的《关键信息基础设施安全保护条例》第十九条明确指出:运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。

2020 年《网络安全审查办法》明确提出，为了确保关键信息基础设施供应链安全，维护国家安全对关键信息基础设施运营者采购的网络产品和服务，影响或可能影响国家安全的应该进行网络安全审查。

2017年《中华人民共和国网络安全法》第三十五条'关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查”和第三十六条“关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任”，分别从网络安全审查、网络产品和服务安全角度对供应链安全提出要求。

我国在供应链安全方面的标准体系也日趋完善。2024年《网络安全技术软件供应链安全要求》（GB/T 43698-2024）发布，为提高企业开展软件供应链风险管理，促进产品和服务的安全性和可靠性提供了有力支撑；

《信息安全技术信息技术产品供应方行为安全准则》(GB/T 32921-2016)从供应商角度入手，规定了信息技术产品供应方的行为安全准则；

《信息安全技术 ICT 供应链安全风险管理指南》(GB/T 36637-2018)规定了信息通信技术(ICT)供应链的安全风险管理过程和控制措施，适用于 ICT 供方和需方、第三方测评机构等。

此外，国内有些标准虽并非专门针对供应链安全，但也包含一些具体要求：《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)在通用要求里，给出了产品采购与使用、外包软件开发、服务供应商选择等方面的要求；《信息安全技术云计算服务安全能力要求》(GB/T 31168-2014)对云服务商的供应链从采购过程、外部服务提供商、开发商、防篡改、组件真实性、不被支持的系统组件、供应链保护等方面提出了安全要求。

2. 安全事件持续高发

近年来，软件供应链攻击的发生频率呈明显增长趋势，攻击者利用供应链网络固有的复杂性和互联性，通过恶意软件植入、代码篡改、供应链流程破坏等方式，实现了对目标组织的深度渗透和控制。根据数据调查，仅从 2014 年第一季度来看，就已经监测到了近 20 起有影响力的攻击案例

2024年3月，微软开发人员在liblzma/xz工具和动态库中发现一个涉及混淆恶意代码的供应链攻击。

2023年12月，黑客团伙借助微软应用商店进行7ZIP软件供应链投毒。

2023年10月，身份安全公司Okta遭黑客攻击，市值蒸发20亿。

2023年3月。由于 Redis 开源库中的一个错误导致 ChatGPT 服务中暴露了其他用户的个人信息和聊天标题，至少导致 1.2%的ChatGPT Plus 用户的个人信息和其他用户的聊天查询被泄露。

2023年2月，Python 软件包索引(PyPI)中存在多个流氓软件包，通过这些软件包攻击者能够投放恶意软件、删除netstat工具以及操作 SSHauthorized keys 文件等，被删除之前被下载超过 450 余次。

2021年11月，Log4j漏洞影响全球多个服务供应商。