新兴国家战略级安全话题-软件供应链安全

2022年10月Gartner发布《Hype Cycle for Security in China, 2022》报告，对中国安全市场技术成熟度、产品及供应商情况进行了全面的统计与分析，涉及内容涵盖云计算、大数据、人工智能、物联网和电子商务等方面。报告认为，在安全细分领域中软件供应链安全热度处于上升阶段，SCA 可以帮助应用开发团队发布更安全的代码，并为安全团队提供主动的风险管理方法。墨云科技依托对软件成分分析的技术的创新研究，被认可为国内软件成分分析（SCA）技术领域领先企业。

国内软件供应链安全外政策分析

当今软件开发环境中，引入开源软件避免重复工作是大幅度提高软件研发效率、缩短上市时间、降低开发成本的一种方式，然而开源软件中存在的大量缺陷，研发过程中开源组件的大量运用，随之而来的安全威胁也成为企业组织无法回避的话题，各国针对该问题纷纷出台了相应的政策。

国外政策：
2008年美国颁布《国家网络安全综合倡议》（CNCI），要求从各个层面综合应对供应链风险问题；2012年美国国土安全部发布《全球供应链安全国家战略》，提出安全和高效两大目标；2021年美国总统拜登发布关于增强国家网络安全的14028号政令，明确要求联邦政府采取行动，迅速提高软件供应链的安全性和完整性。经过14年的发展美国将供应链安全问题从初为人知上升为国家战略。

国内政策：
复杂的网络环境下，国家也尤为重视在关键核心部件的研发、生产、采购等环节存在的供应链安全风险，为实现供应链的完整性、保密性、可用性和可控性安全目标，我国在2018年也出台了有关供应链安全管理国家标准，进一步加强了我国在供应链安全领域的研究、评估和监管。

软件供应链分析技术

现代软件应用的供应链非常复杂，软件供应链安全管理是一个系统工程，亟需从国家、行业、机构、企业各个层面建立软件供应链安全风险的发现能力、分析能力、防护能力等，整体提升软件供应链安全管理的水平。然而如何针对供应链安全开展评估和判断，未形成统一认知。市场上针对供应链安全所衍生出的产品良莠不齐，主流技术路线分为两种：

基于源代码的SCA检测
源代码中包含丰富的程序信息，可通过hash严格匹配或文本相似度匹配方式，分析源代码文件相似度从而判断该文件属于什么组件及对应的版本；也可经过源代码—>词法分析—>Token提取—>语法分析—>AST抽象语法树—>语义分析过程来提取相应的数据，再通过机器学习、NLP、CFG调用图、DFG数据流图等等匹配算法进行代码相似度的检测，基于相似度检测结果得出被测软件的组成从而分析可能存在的问题。

基于二进制文件的SCA检测
二进制SCA主要从二进制文件中提取不变性较高的有关常量字符串、部分类名称、函数名称、以及一些配置信息，再运用匹配算法进行相似度计算，对比数据检测出引用的开源软件名称和版本号，同时结合分析二进制代码中的CFG调用图和DFG数据流图等信息让检测变得更加精准。然而这一系列分析需要对被测二进制文件进行反汇编操作，导致分析时效性较低。

墨云智能软件供应链安全分析平台

在软件供应链攻击频发的今天，墨云科技结合前沿技术创新研究和行业应用实践沉淀，打造了针对二进制函数级别的智能软件供应链安全分析平台Scabot。在传统基于二进制文件的SCA检测技术基础之上，墨云科技Scabot在无需源代码的前提下，利用大规模反汇编引擎，获取目标软件的汇编函数，通过神经网络将汇编函数转换成向量形式，从语义层面，计算汇编函数向量和知识库中函数向量的相似度，检索定位黑盒软件中的函数及其可能存在的风险。同时利用OpenSearch高效搜索引擎，对数据库海量数据进行索引，多节点并发进行KNN高效向量搜索，保障检测质量的同时极大提升检测效率，有效解决用户测针对自开发软件及集采软件的成分分析，降低因供应链问题引发的安全风险。