AI 智能时代,软件定义万物,数字技术已逐渐成为支撑社会正常运转的最基本元素之一。随着软件开发过程中开源应用的日趋普及和大范国应用,开源应用事实上逐渐成为了数字技术开发的核心基础设施,混源开发也已成为主流的数字应用开发交付方式,数字供应链的安全问题也已-升到基础设施安全和国家安全的高度来对待。
数字应用开源化,导致数字供应链的各个环节都不可避免受到开源应用风险的影响,尤其是开源应用的安全性问题,将直接影响采用开源应用的相应数字供应链的安全。除了应用开发者因疏忽和不重视导致的开源应用安全灞洞、代码缺陷和软件许可合规风险,还可能存在其他安全风险,比如,具有非法目的开发者故意预留的开源应用安全后门,甚至还有恶意攻击者伪造的含有隐藏性恶意功能的异常行为代码被故意上传到上游开源代码托管平台,实施定向软件供应链投毒攻击等。上述开应用中存在的众多安全问题,导致数字供应链的安全隐患大大增加,安全形式更加严峻。
总体来说,数字供应链安全管理是一个系统工程,亟需从国家、行业、机构、企业各个层面建立整个数字供应链安全风险的发现能力、分析能力、处置能力、防护能力,整体提升数字供应链安全管理的水平。为此,需要开展全方位的数字供应链安全检测防御方法和技术研究。第一,开展“代码疫苗”技术在数字供应链积极防御体系中的应用研究,实现相关重大技术在 0DAY 漏洞防御、API挖掘分析、代码疫苗热补丁等难点技术上的突破,解决下一代数字免疫体系在出厂自免疫、敏捷自适应、共生自进化等关键特性上的技术瓶颈。第二,开展软件成分动态分析及开源应用缺陷智能检测技术研究,突破高效、高准确性的开源应用安全缺陷动态检测技术的瓶颈,解决基于全代码遍历和代码片段级克隆技术比对的应用安全检测难题,进一步实现对全球开源应用的全面安全检测,从源头堵住数字供应链安全隐患。第三,建立全球开源应用的传播态势感知和预警机制,攻克数字供应链中软件来源多态追踪技术,实现对供应链各环节中软件成分来源的潮源机制,通过软件成分来源多态追踪技术监控开源应用的使用传播和分布部署态势,全面把握有缺陷的开源应用传播和使用渠道,实现对全球开源应用及其安全缺陷的预测预警。第四,建立国家级/行业级软件供应链安全监测与管控平台,具备系统化、规模化的软件源代码缺陷和异常行为代码分析、软件漏洞分析、开源软件成分及风险分析等关键能力,为关键基础设施、重要信息系统用户提供日常的自查服务,及时发现和处置软件供应链安全风险。第五,严格管控数字供应链上游尤其重点管控开源应用的使用,积极推动代码疫苗、SBOM、AI智能软件成分分析等新技术和标准在数字供应链安全领域的推广和应用,从根本上提供数字供应链安全的可靠保障。
作为国内数字供应链安全和 DevSecOps 敏捷安全的技术引领者和产业实践主要推动力量,我和悬镜安全团队致力于结合自身多年来在前沿技术创新研究和行业应用实践方面的沉淀,对数字供应链安全治理与运营进行系统性梳理,并分享我们这些年在不同典型用户场景探索的落地实践经验。因此,无论是沉淀我们创新技术研究与全球敏捷安全应用实践经验的《DevSecOps 敏捷安全》书籍的应运而生,还是承载我们推动生态交流分享与引领产业创新发展意愿的“DS5 数字供应链安全大会”以及“DS0 敏捷安全大会”的持续举办,其根本目的在于为产业搭建一个汇集“国家、行业、机构企业及教育”等综合力量且“同向、同心"的数字供应链安全保障生态体系。
科学无国界,但科学家有祖国,中国数字供应链的安全治理与运营不仅需要全球技术创新力量的共同实践探索,更需要中国产业生态携手共建。以开源为代表的技术文化,已经在开发者社区群体中生根发芽,紧紧将数字供应链新技术、新业态、新模式关联在一起。悬镜安全将持续以更包容的心态,更开放的视野,积极拥抱数字供应链生态用户及伙伴,知行合一守护中国数字供应链安全。