《网络安全技术 软件供应链安全要求》(GB/T 43698—2024)和《网络安全技术 软件产品开源代码安全评价方法》(GB/T 43848—2024)两项推荐性国家标准已于2024年11月1日正式实施。作为这两项国家标准的参编单位,绿盟科技凭借深厚的安全领域技术积累,积极助力软件供应链安全标准化建设,为行业标准化发展贡献力量。
《网络安全技术 软件供应链安全要求》(GB/T 43698—2024)确立了软件供应链安全目标,规定了软件供应链安全风险管理要求和供需双方的组织管理和供应活动管理安全要求。该标准适用于知道软件供应链中的供需双方开展风险管理、组织管理和供应活动管理,为开展软件供应链安全检测和评估提供依据。《网络安全技术 软件产品开源代码安全评价方法》(GB/T 43848—2024)规定了软件产品中的开源代码成分安全评价要素和评价流程,适用于对软件产品包含的开源代码进行静态安全评价,为软件产品中的开源代码成分进行安全性自评提供依据。《网络安全技术 软件供应链安全要求》(GB/T 43698—2024)解读
软件供应链主要包括三个环节,分别是开发环节、交付环节和使用环节。软件供应链安全框架以软件供应链环节为主线,以风险管理为总体依据,指导供需双方开展组织管理和供应活动管理工作。软件供应链中的供应活动包括软件开发、软件采购、软件交付、软件部署、软件使用、软件运维和软件废止。对于不同的环节、供应活动,安全框架给出了相应的实体角色活动和当前环节或活动中面临的软件供应链安全风险,如在开发环节中的实体角色为开发商、代理商等,具体的实体活动包括了采购、需求分析等,面临的供应链全风险漏洞、后门、开发工具污染等。标准正文中,对软件的需方和供方,分别从组织管理和供应活动管理提出了具体的安全要求。国标条款细节较多,以下以场景更多的需方安全为例,进行分析和解读:1)机构管理:明确管理机构或人员职责,提供资源,构建管理图谱,制定修订制度流程,重要场景宜设专职机构;2)制度管理:确定总体方针、制度策略,涵盖资产管理、风险识别处置、监测评估、供应活动安全、人员管理、供应商管理、知识产权管理等方面;3)人员管理:明确人员能力,划分职责权限,开展培训,建立交接清理机制,核心场景宜配保障团队和背景调查,具备风险防范能力;4)供应商管理:分类分级建立目录管理,优先选择并要求供方符合安全要求,进行风险分析,要求供方检测评估配合审查,评估变更风险,建立替代方案;5)知识产权管理:防范知识产权法律风险,熟悉管理知识产权,核心场景宜分析识别建立应对方案。1)基本流程:建立供应关系,明确安全要求并签署保密协议,按约定开展管理;2)软件采购:邀请专家参与招标,明确图谱要求,制定安全需求基线,确定授权期限,确保软件来源多样,要求供方提供验证途径等;3)软件获取:进行端到端完整性验证和全面安全检测评估,确保无未修复漏洞,掌握定制研发软件关键信息,获取相关授权和资料;4)软件运维:确定运维方案,保障软件稳定可用,建立可追溯台账,管理软件资产,配置人员权限,评估处置授权超期风险,检测运维相关安全风险,收集报告风险信息,制定恢复策略,开展数据安全工作,检测分析外联网络;5)软件废止:制定处理规程,移除相关信息,保障废止后安全,要求供方支持数据迁移,参照标准销毁数据,完成后检测确保废止彻底。《网络安全技术 软件产品开源代码安全评价方法》(GB/T 43848—2024)解读
开源代码的安全风险具体包括开源网络安全风险、开源知识产权风险和开源持续性风险。网络安全风险指源代码公开使资产暴露,易受黑客攻击,安全性受挑战;知识产权风险包括版权、专利、商标侵权风险和许可证冲突,其中专利侵权和许可证冲突风险较难规避;持续性风险指受自然、外交、经贸等影响,存在开源代码使用中断风险。
标准主要从开源代码评价要素和开源代码评价流程两个角度来要求。其中评价要素包括开源代码来源、安全质量、知识产权、管理四个方面;评价流程包括开源代码来源、安全质量、知识产权、管理方式四个方面。最后,标准建议评价实施方综合采用访谈、检查和测试评价开源代码相关方面,并核实评价材料。
这里挑选开源代码安全质量以及安全质量评价流程章节,进行解读。开源代码安全质量包括漏洞率,漏洞严重程度,漏洞修复率、版本更新情况四个方面:
1)漏洞率:统计原始漏洞数量和千行漏洞率;
2)漏洞严重性:参考标准计算漏洞严重性分级及中危及以上漏洞占比;
3)漏洞修复率:统计修复漏洞占比及中危及以上漏洞平均修复时间;
4)版本更新情况:统计开源代码版本滞后情况及较新稳定版本占比。
开源代码安全质量评价流程,针对的也是代码安全质量上述四个维度:
1)漏洞率:检测报告检查漏洞、计算数量;
2)漏洞严重性:赋值参数计算漏洞分级、检查中危及以上漏洞及占比;
3)漏洞修复率:检查修复记录、时间及中危及以上漏洞修复时间占比;
4)版本更新情况:检测清单检查版本发布时间及较新稳定版本占比。