解構工業軟件供應鏈，探索安全轉型之路

2023-04-27 02:54:08陳小賽

信息化建設 2023年3期

文｜徐鋒陳小賽郝婭

“十四五”時期及“后疫情時代”的今天，工業業務軟件供應鏈安全事件不斷發生，安全問題更加復雜化、多元化，可能直接導致工業基礎設施癱瘓，帶來災難性后果。當前國內普遍采買境外基礎工業業務軟件、開源軟件，其項目成分存在進出口管制、知識產權、開源軟件漏洞等風險，工業業務軟件供應鏈安全問題日益凸顯。

基于上述現狀及對部分工業企業實際情況的調研，杭州孝道科技有限公司（以下簡稱“孝道科技”）以“解構治理流程”為主導思路，為數字工業打造自主可控、安全可信的軟件供應鏈安全體系，保障工業數字化安全轉型和安全運行。

建構先解構，安全治理思路亦可“由面到點”

孝道科技經過對工業業務軟件供應鏈安全的系統分析、解構和理解，將其安全賦能架構劃分為準入安全、內部安全（安全開發一體化、全流程自動化、合規化）、準出安全三大流程階段。以拆分流程、分段賦能的方式建立全方位的軟件供應鏈安全能力體系，并將能力“調用”到工業生產體系內，融合覆蓋，以增強原有工業業務軟件體系的安全能力。

圖1 軟件供應鏈安全總體系架構

準入安全

根據孝道科技的軟件成分評估模型，對所引入的軟件項目進行各個維度的數據采集，得出評估業務系統的綜合評分。協助開發和安全人員對工業業務軟件供應鏈產品以及供應商進行相對優質的選擇，同時輔助安全人員對組件的安全性進行溯源。

由于我國基礎工業業務軟件項目主導能力不足，存在開源斷供風險、代碼安全風險、知識產權風險以及自主創新風險。孝道科技認為，在準入安全的建設和賦能中尤其要重視開源成分的安全采買、安全使用和安全退出。

例如在與某電網公司數字電力合作項目的實際落地過程中，采用孝道科技——安全玻璃盒軟件成分分析（SCA），完成對該數字項目開發的開源供應商健康度評估，對軟件自研成分產權分析，保障了該數字項目自身的自主可控性；此外，利用該工具準確識別軟件中的開源成分以及代碼安全性，為安全評估提供重要的參考數據，同時也提高了項目代碼的自主水平。

內部安全

圖2 軟件成分評估模型

DevSecOps落地。DevSecOps的核心理念是安全需要貫穿開發和運營整個業務生命周期的每一個環節才能提供有效保障，必須實現安全與業務流程的良好整合。工業業務軟件供應鏈體系建設運用DevSecOps理念實踐作為貫穿思路，可打破傳統安全門禁，實現軟件供應鏈全鏈路的多維、全面安全保障。在DevSecOps落地中使用孝道科技——安全玻璃盒交互式應用安全測試系統（IAST）完成安全測試后，可以直接輸出可視化安全測試報告。報告為開發人員精確定位漏洞具體位置及相關信息，還能提供專業的安全修復建議，幫助開發人員快速地完成問題定位及漏洞修復。

安全開發一體化。傳統工業業務軟件開發流程中對安全考量不夠全面，采取的安全行為多屬于“門禁式”，無法實現軟件開發的全生命周期安全覆蓋。該模塊以“安全左移”為核心理念，讓安全覆蓋工業業務軟件開發的需求、設計、研發、驗證、發布、運營的全生命周期，能夠減少安全威脅以降低安全成本，全方位提升工業數字業務的安全性及項目人員安全能力，為數字工業業務系統的實現提供更完善的安全賦能。

全流程自動化。DevOps是現今工業業務軟件開發的主流模式，故體系建設的各個模塊以及各個技術工具需要安全無縫集成DevOps ，又能實現安全解耦；安全原子能力的檢測升級、擴展、更新，無需調整或影響研發流水線。

合規化。孝道科技在體系建設的落地中，會結合各項安全合規管理制度及標準，幫助建設和改善工業業務軟件應用安全合規管理體系，實現對安全合規的管理，幫助工業企業規避合規風險。同時幫助工業企業建設好安全組織體系、安全管理體系和安全技術體系的全面安全保障體系。

準出安全

在準入安全的基礎上將重點落在軟件上線前安全檢測以及上線后運行時安全檢測與防護、應急響應體系建設等。應用孝道科技——安全玻璃盒“All in one”一體化平臺ASTP，通過正常業務使用同步無感知地完成對工業數字應用及所引用的三方組件進行漏洞檢測和漏洞定位。當發現漏洞或遇到異常攻擊時，根據IAST輸出的漏洞風險元數據和動態執行指紋，立即自動激活免疫防御能力，實現IAST技術和RASP技術的有效智能結合，讓數字應用具備事前主動、全面、精確的代碼免疫防御能力。幫助工業企業實現“安全左移”的同時，讓安全覆蓋工業業務軟件活動的所有階段。

完善安全治理，助推數字化轉型

未來全球工業信息化程度將越來越高，相應的風險也進一步提升。助力工業企業建設貼身的、動態的、可持續性業務軟件供應鏈安全體系，是工業業務軟件供應鏈安全治理的主要目標，也是我國數字化安全轉型的必由之路。