古涵詩 / 工研院產科國際所
現代聯網的產品與服務多半仰賴連結全球製造商、軟體與服務供應商的供應鏈,儘管促進全球經濟,但供應鏈也使公司和消費者處於風險之中。因為一項成品的元件與軟體來源很多,而這些元件間又是由不同的製造商組裝而成,造成所生產的產品可能含有惡意軟體,或容易因為安全漏洞而受到網路攻擊,而且供應鏈本身的脆弱性,也可能危及企業的資安。另外,開源軟體為業界產品軟體、韌體開發的主流型態,軟體開源化趨勢導致軟體供應鏈面臨極大的安全挑戰,如何針對軟體供應鏈進行資安防護,提升軟體供應鏈安全已成為全球關注的重要焦點。本文首先描述軟體供應鏈的風險現狀,接著探討軟體供應鏈之資安事件及剖析軟體供應鏈所面臨的資安挑戰,最後提出如何針對軟體供應鏈安全進行資安防護和風險管理。
軟體供應鏈開源化趨勢 導致資安風險加劇
供應鏈泛指組織企業將產品或服務提供給終端使用者的過程與活動。由於軟體組成複雜,無論是商業套裝軟體、委外開發、第三方元件、開源軟體、自主開發軟體、韌體等,皆可能遭惡意植入後門、漏洞開採等,任何一個第三方元件和工具都可能遭到駭客攻擊,進而使駭客進入更多系統。
軟體供應鏈攻擊為駭客針對軟體供應鏈中安全防護較弱的環節進行攻擊。駭客藉由入侵特定軟/韌體開發公司或人員電腦,進行竄改程式或下載連結等行為,造成大範圍的感染與擴散。軟體供應鏈攻擊最大特色是利用受信任的管道進行散播,透過入侵軟體開發商之後,做為跳板,再滲透至客戶組織。由於軟體供應鏈依存度越來越高,供應商數量增加,再加上安全等級不盡相同,造成軟體供應鏈資安風險增加。
根據新思科技(Synopsys)《2022開源安全和風險分析》報告,開源軟體在每個行業都被廣泛使用,97%的應用程式都包含開源程式,其中81%至少含有一個開源漏洞。以產業別來看,物聯網產業中,64%程式庫存在開源漏洞;航空、汽車、運輸和物流業中,60%程式庫存在開源漏洞;移動應用產業中,56%程式庫存在開源漏洞等。Black Hat 2022主題聚焦在軟體供應鏈安全,根據180名資安專業人士調查顯示,雲端服務攻擊、勒索軟體和全球供應鏈風險是最令人關注的議題。53%受訪者表示,由承包商、供應商和客戶維護的系統、應用程式和網路存在漏洞;34%受訪者認為,從第三方協力廠商購買的軟體中存在漏洞;26%受訪者表示,最擔心的基於開源工具設計的商業軟體或雲端服務存在隱藏的漏洞,可見透過開源平台和程式碼進行攻擊越來越普遍。
軟體供應鏈的風險挑戰
由於軟體供應鏈面臨的資安風險不斷加大,再加上美中科技競爭的技術斷鏈風險,引起的供應鏈斷鏈或資安事件逐步上升,因此,有必要針對可能導致我國軟體供應鏈產生風險挑戰進行討論。
1. 軟體設計開發複雜化:
由於網路應用中容器、微服務等新技術演進,帶來軟體設計開發複雜化。軟體設計、開發及維護的難度遽增,設計與開發過程不可避免地產生安全漏洞。若在軟體設計階段不能識別出軟體所須注意的安全漏洞,就無法合理投入資源進行安全防護,從而導致不能即時消除可能造成的安全問題威脅。
2. 開源成為主流開發模式:
開源程式成為主流開發模式,軟體的原始碼大多已是混源程式碼,由企業自主開發的原始碼和開放原始碼共同組成。但企業對於開源軟體組件的來源和品質未有足夠的重視,因此會忽略軟體組件帶來的安全風險。開源軟體的資安問題進入了軟體供應鏈,無形中為軟體供應鏈帶來難以預知的安全隱憂,從而導致軟體供應鏈攻擊呈現上升趨勢。
3. 迅速交付要求:
由於軟體應用日新月異,企業為了加快業務創新,提高軟體開發效率已成為業界的主流選擇。相較於安全,縮短軟體開發時間、加快軟體交付速度成為第一優先考慮,因此,開發人員容易忽略程式碼中的 ---以上為部分節錄內容,完整資料請見下方附檔。