构建数字时代下的软件供应链安全体系
近日,国内新一代风险投资机构绿洲资本举办了以“参赞生命力”为主题的三周年庆典活动,云起无垠创始人兼 CEO 沈凯文也应邀到场,并以《构建数字时代下的软件供应链安全体系》为题展开精彩演讲。
图 1 现场演讲
图 2 软件定义世界
人类经济经历了三次主要变革,从农业体系到工业体系再到数字化体系。在数字时代下,商业经济迎来了指数型爆发式增长。而在数字时代下,最大的持续变化因子是软件正在定义世界。当下每一个行业都在进行数字化重塑,用软件重新定义发展范式。比如在软件定义汽车领域,一辆新能源汽车已有多达几十上百个车载控制器、过亿行软件代码,用于支撑网联通信、自动驾驶等各类新兴功能。在未来新一代智能汽车中,将有 90%的功能由软件定义。伴随着未来智慧医疗、脑机接口、量子计算机、Web3.0 的兴起,世界万物将会由软件一一重塑。
图 3 软件供应链面临的安全威胁
而就像传统供应链一样,软件也存在对应的软件供应链。比如,我们在超市中购买任意商品时都会默认看一下生产厂商、生产日期、配料表以及质量合格证。若一个商品没有这些信息,则会被判定成“三无产品”不允许售卖。反观软件供应链,我们现在手机内有这么多的 APP,我们无时无刻不与这些 APP 进行交互,然而我们却不知道这些 APP 是怎么生产出来的,遵循了什么生产/开发标准,用了哪些配料/软件组件,是否遵循安全与隐私规范?如果这些东西无法做到统一的生产标准,那么整个行业规范就无从谈起。而且,在数字时代下,手机可谓是我们最亲密的智能助手,它几乎知道我们所有的小秘密。一旦其存在隐私泄漏问题,我们的所有个人隐私信息可能被泄漏。此外,出于商业或国家利益,软件供应链还面临着黑客无时无刻的攻击风险,比如第三方代码/组件漏洞、程序员错误实现导致的安全漏洞、软件分发渠道的投毒攻击。黑客可以顺着软件上游供应链对整个软件下游产业链发起攻击,从而影响大量的厂商与用户,这是当下整个软件供应链面临的严峻安全威胁。
具体而言,软件供应链主要面临三方面的安全威胁。
第一,软件供应链攻击。软件漏洞所带来的灾难后果也一直是各行业不可摆脱的灰犀牛。离我们最近的是 2021 年阿里云爆出的 log4j 漏洞,几乎影响了所有使用 Java 开发的业务系统上至 Google 搜索引擎,下至苹果 WiFi 模块都受到了不同程度影响。除此之外,2015 年 Mac 上的 Xcode 开发工具被污染事件和 2017 年 NotPetaya 勒索病毒事件等都是典型的软件供应链攻击事件。软件供应链让整个数字世界串联起来,当一个上游组件被攻击时,几乎所有的下游软件都有可能受到攻击,从而造成海量经济损失以及社会影响。
图 4 安全攻击风险
第二,法律合规风险。目前,开源代码几乎无处不在,全球 97%的软件开发者和 99%的企业都会或多或少地使用开源软件,基础软件、工业软件、云上软件大多基于开源,开源软件已经成为软件产业创新源泉和“标准件库”。
然而,开源代码的知识产权风险已成为当下亟需面对的法律合规风险。部分开源许可条款是不允许代码被用于商业化的。目前,据统计,65%的代码项目存在许可证冲突问题,25%的开源代码是无授权或是自定义授权。2021 年,国内首例因违反 GPL 协议导致侵权的案例被判罚。2022 年,Github 也深陷开源许可相关的法律纠纷中,目前索赔金额高达数亿美元。
图 5 法律合规风险
第三,地缘政治风险。关键技术供应链可能面临断供风险。俄乌冲突中,俄方受到信息技术供应链制裁,众多商业软件与开源项目均受到制裁,导致了大量经济损失。
图 6 地缘政治风险
因此,为了解决与规避这些威胁与风险,我们需要构建一套完善的软件供应链安全体系。
首先,我们需要依托于软件供应链的安全法律法规依次完成软件供应链的持续治理,比如供应链安全标准规范、供应链安全规章制度、供应链安全评价体系。
而从产品侧而言,我们要围绕软件供应链全生命周期持续构建安全能力。整体而言,我们要做好两方面的工作。
首先是软件成分透明且合规,包括可信的软件供应链名单、组件关系分析与溯源、法律风险监控与管理。其次是要做到,安全能力可评估,比如依赖组件、开发过程以及最终交付软件均可进行安全能力评估。那么核心而言,我们会发现这些理念会依赖于两个核心的数据集--开源软件库和安全漏洞库,这两个核心库将为智能组件分析能力和漏洞检测能力提供重要支撑。
图 7 数字时代软件供应链安全体系
从公开数据可以看到,目前全球已有 1110 亿行代码,并且平均每周新增 20 亿行代码,迭代规模和迭代速度持续加快。而且,其中有 97%的代码库中包含开源代码,开源代码已成为当下开发过程中的主要参考来源。而令人震惊的是,据统计每 1000 行代码中便存在 14 个 bug。这些 bug 就像一颗颗定时炸弹一样,不知何时会被攻击者利用从而爆发一个新的软件灰犀牛事件,造成巨量经济损失。
因此,我们可以简单理解到,开源软件库和安全漏洞库将是整个软件攻击链安全的核心生命力。
图 8 开源软件库 &安全漏洞库
以前,人们在构造开源软件库和安全漏洞库时,更多偏向依赖于专家知识进行人工的提取,它面临着人力成本高、无法检测未知漏洞、漏洞检测存在误报以及漏洞库无法迭代自我更新等瓶颈。而在新一代软件供应链安全体系中,云起无垠利用 AI 赋能安全,从而激活开源软件库和安全漏洞库的无限生命力。我们面向海量的异构原始漏洞进行数据采集与挖掘。首先,我们利用自然语言处理技术对异构数据的语义信息进行抽取与规范化,其次我们利用知识图谱对资产进行组件依赖关系推导。在数据集方面,我们利用智能模糊测试技术的动态执行与内存监控器技术消除漏洞误报,并依赖覆盖率引导反馈的 AI 遗传算法迭代进化测试集,最终实现开源软件库和安全漏洞库的“净化”与“进化”。
因此,云起无垠的解决方案有几个突出优势:大幅度降低人工成本、未知漏洞检测能力、0 误报检测技术以及亿万级的海量测试用例。
图 9 智能模糊测试技术
最后,沈凯文表示,作为新一代智能模糊测试领跑者,云起无垠未来将专注于软件供应链安全体系的构建,持续技术研究和产品打磨,不断完善行业解决方案,为网络安全建设助力,为软件供应链安全添砖加瓦。
评论