文｜徐 鋒 陳小賽 郝 婭

“十四五”時期及“后疫情時代”的今天，工業(yè)業(yè)務軟件供應鏈安全事件不斷發(fā)生，安全問題更加復雜化、多元化，可能直接導致工業(yè)基礎(chǔ)設(shè)施癱瘓，帶來災難性后果。當前國內(nèi)普遍采買境外基礎(chǔ)工業(yè)業(yè)務軟件、開源軟件，其項目成分存在進出口管制、知識產(chǎn)權(quán)、開源軟件漏洞等風險，工業(yè)業(yè)務軟件供應鏈安全問題日益凸顯。

基于上述現(xiàn)狀及對部分工業(yè)企業(yè)實際情況的調(diào)研，杭州孝道科技有限公司（以下簡稱“孝道科技”）以“解構(gòu)治理流程”為主導思路，為數(shù)字工業(yè)打造自主可控、安全可信的軟件供應鏈安全體系，保障工業(yè)數(shù)字化安全轉(zhuǎn)型和安全運行。

建構(gòu)先解構(gòu)，安全治理思路亦可“由面到點”

孝道科技經(jīng)過對工業(yè)業(yè)務軟件供應鏈安全的系統(tǒng)分析、解構(gòu)和理解，將其安全賦能架構(gòu)劃分為準入安全、內(nèi)部安全（安全開發(fā)一體化、全流程自動化、合規(guī)化）、準出安全三大流程階段。以拆分流程、分段賦能的方式建立全方位的軟件供應鏈安全能力體系，并將能力“調(diào)用”到工業(yè)生產(chǎn)體系內(nèi)，融合覆蓋，以增強原有工業(yè)業(yè)務軟件體系的安全能力。

圖1 軟件供應鏈安全總體系架構(gòu)

準入安全

根據(jù)孝道科技的軟件成分評估模型，對所引入的軟件項目進行各個維度的數(shù)據(jù)采集，得出評估業(yè)務系統(tǒng)的綜合評分。協(xié)助開發(fā)和安全人員對工業(yè)業(yè)務軟件供應鏈產(chǎn)品以及供應商進行相對優(yōu)質(zhì)的選擇，同時輔助安全人員對組件的安全性進行溯源。

由于我國基礎(chǔ)工業(yè)業(yè)務軟件項目主導能力不足，存在開源斷供風險、代碼安全風險、知識產(chǎn)權(quán)風險以及自主創(chuàng)新風險。孝道科技認為，在準入安全的建設(shè)和賦能中尤其要重視開源成分的安全采買、安全使用和安全退出。

例如在與某電網(wǎng)公司數(shù)字電力合作項目的實際落地過程中，采用孝道科技——安全玻璃盒軟件成分分析（SCA），完成對該數(shù)字項目開發(fā)的開源供應商健康度評估，對軟件自研成分產(chǎn)權(quán)分析，保障了該數(shù)字項目自身的自主可控性；此外，利用該工具準確識別軟件中的開源成分以及代碼安全性，為安全評估提供重要的參考數(shù)據(jù)，同時也提高了項目代碼的自主水平。

內(nèi)部安全

圖2 軟件成分評估模型

DevSecOps落地。DevSecOps的核心理念是安全需要貫穿開發(fā)和運營整個業(yè)務生命周期的每一個環(huán)節(jié)才能提供有效保障，必須實現(xiàn)安全與業(yè)務流程的良好整合。工業(yè)業(yè)務軟件供應鏈體系建設(shè)運用DevSecOps理念實踐作為貫穿思路，可打破傳統(tǒng)安全門禁，實現(xiàn)軟件供應鏈全鏈路的多維、全面安全保障。在DevSecOps落地中使用孝道科技——安全玻璃盒交互式應用安全測試系統(tǒng)（IAST）完成安全測試后，可以直接輸出可視化安全測試報告。報告為開發(fā)人員精確定位漏洞具體位置及相關(guān)信息，還能提供專業(yè)的安全修復建議，幫助開發(fā)人員快速地完成問題定位及漏洞修復。

安全開發(fā)一體化。傳統(tǒng)工業(yè)業(yè)務軟件開發(fā)流程中對安全考量不夠全面，采取的安全行為多屬于“門禁式”，無法實現(xiàn)軟件開發(fā)的全生命周期安全覆蓋。該模塊以“安全左移”為核心理念，讓安全覆蓋工業(yè)業(yè)務軟件開發(fā)的需求、設(shè)計、研發(fā)、驗證、發(fā)布、運營的全生命周期，能夠減少安全威脅以降低安全成本，全方位提升工業(yè)數(shù)字業(yè)務的安全性及項目人員安全能力，為數(shù)字工業(yè)業(yè)務系統(tǒng)的實現(xiàn)提供更完善的安全賦能。

全流程自動化。DevOps是現(xiàn)今工業(yè)業(yè)務軟件開發(fā)的主流模式，故體系建設(shè)的各個模塊以及各個技術(shù)工具需要安全無縫集成DevOps ，又能實現(xiàn)安全解耦；安全原子能力的檢測升級、擴展、更新，無需調(diào)整或影響研發(fā)流水線。

合規(guī)化。孝道科技在體系建設(shè)的落地中，會結(jié)合各項安全合規(guī)管理制度及標準，幫助建設(shè)和改善工業(yè)業(yè)務軟件應用安全合規(guī)管理體系，實現(xiàn)對安全合規(guī)的管理，幫助工業(yè)企業(yè)規(guī)避合規(guī)風險。同時幫助工業(yè)企業(yè)建設(shè)好安全組織體系、安全管理體系和安全技術(shù)體系的全面安全保障體系。

準出安全

在準入安全的基礎(chǔ)上將重點落在軟件上線前安全檢測以及上線后運行時安全檢測與防護、應急響應體系建設(shè)等。應用孝道科技——安全玻璃盒“All in one”一體化平臺ASTP，通過正常業(yè)務使用同步無感知地完成對工業(yè)數(shù)字應用及所引用的三方組件進行漏洞檢測和漏洞定位。當發(fā)現(xiàn)漏洞或遇到異常攻擊時，根據(jù)IAST輸出的漏洞風險元數(shù)據(jù)和動態(tài)執(zhí)行指紋，立即自動激活免疫防御能力，實現(xiàn)IAST技術(shù)和RASP技術(shù)的有效智能結(jié)合，讓數(shù)字應用具備事前主動、全面、精確的代碼免疫防御能力。幫助工業(yè)企業(yè)實現(xiàn)“安全左移”的同時，讓安全覆蓋工業(yè)業(yè)務軟件活動的所有階段。

完善安全治理，助推數(shù)字化轉(zhuǎn)型

未來全球工業(yè)信息化程度將越來越高，相應的風險也進一步提升。助力工業(yè)企業(yè)建設(shè)貼身的、動態(tài)的、可持續(xù)性業(yè)務軟件供應鏈安全體系，是工業(yè)業(yè)務軟件供應鏈安全治理的主要目標，也是我國數(shù)字化安全轉(zhuǎn)型的必由之路。

孝道科技作為軟件供應鏈安全解決方案提供商，會繼續(xù)探索自動化程度更高、易用性更優(yōu)的產(chǎn)品和安全解決方案，積極參與國、省級開發(fā)安全相關(guān)標準、規(guī)范編制，助力工業(yè)企業(yè)實現(xiàn)軟件供應鏈安全治理。