1、软件供应链的风险与治理软件供应链的风险与治理悬镜安全悬镜安全 COO COO 董毅董毅现负责悬镜安全市场运营工作现负责悬镜安全市场运营工作曾负责安全产品研发、产品设计、等保咨询、风险评估等工作曾负责安全产品研发、产品设计、等保咨询、风险评估等工作CISPCISP、等保建设专业人员、等保建设专业人员、ISO27001 FoundationISO27001 Foundation、ITIL4 FoundationITIL4 Foundation、信息系统项目管理师信息系统项目管理师软件供应链软件供应链=软件软件生产的过程生产的过程2019年，研究人员发现攻击者可以拦截打印机与云端应用的TCP连接来在

2、打印机上触发RCE漏洞，并对打印机完全控制。为 了 拦 截 T C P 连 接，攻 击 者 可 以 使 用 DNSpionage恶意软件这样的技术来攻击DNS服务器并发起中间人攻击。一旦攻击者控制了网络中的某台设备，就可以进一步控制网络中的其他设备。VxWorks 操作系统是美国WindRiver公司于1983年设计开发的一种嵌入式实时操作系统（RTOS），是嵌入式开发环境的关键组成部分。被广泛地应用在通信、军事、航空、航天、汽车、IoT等各种领域中，1997年4月在火星表面登陆的火星探测器、2008年5月登陆的凤凰号，和2012年8月登陆的好奇号也都使用到了VxWorks。2019年，研究人

3、员发现通过一组漏洞，一旦攻击者控制了飞机内的集成控制设备，由于漏洞的蠕虫传播性，可以在内部网络中广播恶意包来入侵所有存在该漏洞的设备，最终实现接管飞机。2019年，Armis Labs安全研究人员在使用最广泛嵌入式设备实时操作系统（real-time operating systems，RTOS）VxWorks中发现了11个0 day漏洞，该操作系统广泛应用于航空、国防、工业、医疗、电子、网络和其他关键行业中，预计影响超过20亿设备。Interpeak AB公司位于瑞典斯德哥尔摩，是网络、安全以及移动中介软件的领导供货商，其中间件软件可使新一代设备安全地连接至互联网。2006年，Wind Ri

4、ver通过现金和股票的形式，以2000万美元的价格收购Interpeak AB公司。远程攻击者可以通过VxWorks的Urgent/11漏洞对Sonicwall的联网防火墙设备发起攻击，通过控制这些设备来实现对设备所连接的网络的接管。有超过80万个运行VxWorks RTOS的SonicWall防火墙设备连接着互联网。软件应用三级引用二级引用一级引用原始组件软件应用三级引用二级引用一级引用原始组件高传播性高传播性软件应用一级组件二级组件三级组件四级组件软件应用一级组件二级组件三级组件四级组件强隐蔽性强隐蔽性合法供应商引入的漏洞：合法供应商引入的漏洞：如如VxWorksVxWorks伪造的组件：

5、伪造的组件：如如SolarWinds OrionSolarWinds Orion攻击攻击开发开发过程引入的漏洞：过程引入的漏洞：如不安全的开源如不安全的开源代码代码未处理已知漏洞：未处理已知漏洞：已知但尚未解决的缺陷已知但尚未解决的缺陷软件供应链风险的软件供应链风险的4 4种种基本类型：基本类型：如何降低软件如何降低软件供应链风险？供应链风险？使用使用SCASCA，提升，提升透明度透明度20212021年年4 4月月3030日，日，由于由于滑动天窗滑动天窗供应商生产偏差，供应商生产偏差，奔驰公司宣布奔驰公司宣布召回从召回从20052005年年1212月月1212日至日至20062006年年9

6、9月月1414日期间生产的部分进口和日期间生产的部分进口和国产国产C C级、级、CLKCLK、CLSCLS、E E级车辆，共计级车辆，共计390390辆。辆。20202020年，奔驰年，奔驰C C级的销量为级的销量为0台。台。物料清单物料清单(Bill of Material(Bill of Material、BOM)BOM)是说明产品是说明产品是由什么组成、数量多少的一种技术文件。是由什么组成、数量多少的一种技术文件。软件物料清单（软件物料清单（SBOM,Software Bill Of MaterialSBOM,Software Bill Of Material）是代

7、码库中所有开放源代码和第三方组件的列表。是代码库中所有开放源代码和第三方组件的列表。SBOMSBOM能够列出管理这些组件的许可证，代码库中使用能够列出管理这些组件的许可证，代码库中使用的组件的版本及其补丁程序状态。的组件的版本及其补丁程序状态。1.1.向供应商索要向供应商索要SBOMSBOM：如果他们不能提供，意味着你的安全防护：如果他们不能提供，意味着你的安全防护成本成本将会提升。将会提升。2.2.采用第三方采用第三方SCASCA工具：帮助你生成工具：帮助你生成SBOMSBOM，并管理风险。，并管理风险。如何获得如何获得SBOMSBOM？SBOMSBOM最少包含顶层最少包含顶层软件应用一级组件二级组件三级组件四级组件基础基础SBOMSBOM进阶进阶SBOMSBOM完善安全开发工具链，强化供应链风险发现完善安全开发工具链，强化供应链风险发现能力能力完善完善DevSecOpsDevSecOps或或SDLSDL全流程应用全流程应用安全工具链安全工具链引入引入RASPRASP，实现应用内生，实现应用内生安全安全