软件供应链包含多个环节，如开发人员、基础设施组件、GitHub存储库等。而企业的软件供应链是否安全，取决于其最薄弱的环节。随着构建的软件复杂性以及对第三方组件的依赖增加，软件供应链中的潜在风险也在逐渐增大。一旦其中包含漏洞或缺陷就可能带来重大风险。

软件供应链风险的类型

第三方组件和开源库中的漏洞：使用第三方组件可以加快开发速度，但单个缺陷可能会影响多个应用程序。

构建和开发工具受损：如果构建工具受损，即使原始代码是安全的，应用程序也将面临风险。

恶意代码注入：攻击者可以通过第三方组件将有害代码插入软件中，从而可能窃取数据或创建后门。

内部威胁：内部人员的不安全行为可能会引入漏洞，由于他们可以访问关键的开发流程，因此会带来重大风险。

供应链中缺乏安全的实践：不安全的代码、访问控制不足和审查不当的第三方组件可能造成薄弱环节，威胁到整个供应链。

实现安全 SDLC 的步骤

一：识别和盘点软件组件

随着今天的软件变得越来越复杂，开发人员需要了解他们所依赖的外部组件的数量。因此，确保软件供应链安全的第一步是识别和盘点整个开发过程中使用的所有组件。了解每个软件元素对于管理潜在风险或漏洞都至关重要。

关键组件包括第三方库、开源组件、商用现货(COTS)软件和定制开发的代码。使用软件组件分析 (SCA)等自动化工具可以检测代码库和依赖项。

二：评估供应商的安全状况

在将第三方组件集成到软件之前，对潜在的供应商和销售商进行尽职调查。通过审查特定的安全认证，例如ISO 27001，了解企业的安全标准。另外需要考虑的关键方面包括漏洞披露程序、事件响应功能以及来自其他客户的参考资料。

三：分析并确定风险的优先级

确定软件供应链中的潜在风险后，下一步是根据其潜在影响和发生的可能性对其进行分析和排序。可以使用已建立的风险评估方法或标准。在进行风险分析时，需要考虑的一些因素包括受影响组件的重要性，即该元素对软件功能有多重要，成功攻击的潜在影响，以及发生攻击的可能性。

四：实施安全控制和缓解措施

在确定风险的优先级后，需要加强安全性来提高软件供应链安全等级。通过实施多种安全控制和缓解措施，来使攻击者更难破坏您的系统。其中包括：代码安全审查、使用最低权限原则、定期打补丁及定期进行安全测试。

五：监控并持续改进

安全需要持续的监控和改进，使用威胁情报随时了解新出现的漏洞。软件在不断更新，同时要定期审查和更新风险评估及缓解计划。安排定期审计以重新评估风险并调整安全措施，包括定期漏洞评估和渗透测试，以主动识别和解决系统中的潜在弱点。培养组织成员的安全意识和安全文化，并确保软件供应链的持续改进和警惕。

六：建立软件物料清单(SBOM)

软件物料清单(SBOM)是一份正式的、机器可读的清单，其中列出了所涉及的软件组件，包括依赖项及其之间的关系。是所有软件供应链组件(包括所有第三方软件和开源库)的描述性文档。

SBOM 为软件生产商和客户提供了便利。对于生产者来说，SBOM 表明他们致力于安全性和合规性。客户可以使用 SBOM 了解所涉及的潜在风险和依赖关系。

七：将安全性集成到 DevOps 中

DevOps是一组文化实践，旨在统一软件开发(Dev)和IT运营(Ops)。将安全(Sec)实践集成到DevOps工作流中称为DevSecOps。

DevSecOps 将安全性左移。这意味着从一开始就考虑了安全注意事项，而不是事后才考虑。这种方法确保安全性是持续贯穿到整个软件开发生命周期的每个阶段。

在开发工作流程中实施 DevSecOps 的方法是依靠自动化安全工具，如SAST、DAST 和 IAST 工具。这些工具在不同的时间间隔提供代码的安全测试。

八：事件响应和恢复

如果发生攻击，则需要制定完善的响应策略，这可以在人工智能和机器学习的帮助下进行改进。使用结构化方法可以确保在发生攻击时快速检测、遏制任何安全事件并从中恢复，从而最大限度地减少其对组织的影响。

创建此计划时需要考虑的有：

检测和分析：定义正常操作并使用监控系统来识别和分析异常情况。

遏制和根除：隔离受影响的系统，删除恶意代码，并解决漏洞以防止进一步的损害。

恢复和还原：从备份中还原系统和数据，确保在恢复操作之前没有漏洞。

事件后分析和经验教训：进行彻底的分析了解事件，确定响应差距，并记录吸取的教训。

定期进行事件响应演习，随时做好准备。这些模拟可帮助团队练习和完善响应策略，同时让每个人都了解自己的角色，并能在实际事件中迅速采取行动。

参读链接：

https://spectralops.io/blog/software-supply-chain-risk-assessment-8-steps-to-a-secure-sdlc/