为增强供应链安全，美国将设立“国家供应链完整性之月”

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

当地时间4月1日，美国国家反情报与安全中心 (NCSC) 及其政府和行业合作伙伴推出第4次“国家供应链安全完整性之月(National Supply Chain Integrity Month)”活动，呼吁国内组织机构采取措施，增强对抗国外竞争对手及其它潜在风险的能力。

据介绍，NCSC 是位于国家情报总监办公室内的中心，是美国反情报和安全专业知识的主要来源，也是保护美国免受外国和其它对抗性威胁的可信赖任务合作伙伴。

在整个4月，NCSC 携手美国国土安全部网络安全和基础设施安全局 (CISA)、联邦通信委员会 (FCC)、国防部卓越安全发展中心 (CDSE)、美国国家采购官员协会 (NASPO) 和国家县级协会 (NACo) 和其它合作伙伴提高美国供应链威胁意识并共享风险缓解信息。这些合作伙伴将联合政府、行业和学术界的利益相关者规划一系列公开和非公开活动，增强供应链风险管理。

NCSC 代理总监 Michael Orlando 指出，“如果新冠肺炎疫情和因此而导致的产品短缺还不足以唤醒我们，那么最近针对美国行业和政府的软件供应链攻击应当被视为行动号角。我们必须增强供应链的弹性、多样性和安全性。这关乎国家的生死存亡。”

为了帮助行业和政府利益相关者更好地应对这一风险，NCSC 在专门的供应链网站上发布了新的供应链风险管理资源。其中，该网页提供了大量关于供应链威胁和最佳实践的信息，以及相关合作伙伴机构提供的资源。另外，NCSC 还将在本月为信息和通信技术 (ICT) 行业、制造和生产行业、医疗行业和能源行业的供应链风险管理提供行业指南。

外国对手对美国供应链的利用

报道指出，虽然生产短缺、贸易摩擦、自然灾害和其它不可预知的活动都对美国的全球供应链带来压力，但外国对手利用美国供应链中漏洞的行为带来了不同的反情报和安全威胁。

报道指出，外国对手正在不断利用企业和受信任供应链当作攻击向量，实施间谍、信息盗取和勒索活动。为此，这些对手攻陷美国政府和行业赖以生存的产品和服务，导致知识财产、工作、经济优势和军队优势消失殆尽。

例如，在过去十年中，国家黑客攻陷软件和信息安全服务供应链窃取知识财产、实施间谍和勒索活动。虽然最近发生的 SolarWinds 事件让软件供应链攻击获得更高的公众关注度，但实际上它不过是最近几年新发生的此类攻击之一。比如，2月份，美国指责朝鲜军队黑客实施网络犯罪活动，经由软件供应链攻击窃取密币；去年10月份，六名俄罗斯军队情报人员被指发动多起网络犯罪活动如2017年发动的 NotPetya 软件供应链攻击，为全球银行、商业、公共事业和物流行业造成数十亿美元的损失。

NCSC 指出，软件供应链攻击尤为隐秘而危险，因为它破坏的是消费者和软件提供商之间的基本信任。消费者正确地适应了仅使用源自授权厂商受信任来源的软件，并立即安装开发人员发布的安全更新。但当下，消费者必须警惕甚至执行这些基本的网络清理任务，因为授权资源可能已失陷。

供应链风险管理基础

虽然不存在解决国家供应链风险的灵丹妙药，但NCSC 建议组织机构最少要考虑如下基本原则，以增强供应链弹性。

• 使供应链多样化。产品或服务的单一来源意味着单一故障点。使供应链多样化，确保供应商失陷、出现短缺或其它破坏情况时能够弹性应对。

• 缓解第三方风险。开展严格的供应商尽职调查，了解其安全实践并设立最低标准。将安全要求纳入第三方合同并监控产品或服务生命周期的合规性。

• 识别并找到核心资产。绘制核心资产的位置和状态并优先保护它们。监控系统和网络性能，将破坏的影响力降到最低。

• 确保管理层的投入。指定一名高管作为供应链风险的所有人，并让企业的所有利益相关者参与风险缓解项目。开展组织范围内的沟通，确保接受并建立培训和意识提高项目。

• 加强合作伙伴关系。政府和行业就当前威胁信息和安全最佳实践交换信息，这一点非常重要。

推荐阅读

别问，问就是我差点在所有浏览器中注入 JavaScript 代码

微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析

速修复！热门npm 库 netmask 被曝严重的软件供应链漏洞，已存在9年

SolarWinds 供应链事件后，美国考虑实施软件安全评级和标准机制

找到软件供应链的薄弱链条

GitHub谈软件供应链安全及其重要性

揭秘新的供应链攻击：一研究员靠它成功入侵微软、苹果等 35 家科技公司

谷歌Linux基金会等联合推出开源软件签名服务 sigstore，提振软件供应链安全

Linus Torvalds 警告：勿用 Linux 5.12 rc1，担心供应链攻击？

微软和火眼又分别发现SolarWinds 供应链攻击的新后门

找到恶意软件包：Go 语言生态系统中的供应链攻击是怎样的？

拜登签署行政令，要求保护美国关键供应链（含信息技术）的安全

坐火车太无聊，我溜入微软 VS Code官方GitHub仓库，但没敢发动供应链攻击

SolarWinds 供应链攻击中的第四款恶意软件及其它动态

OpenWRT开源项目论坛遭未授权访问，可被用于供应链攻击

FireEye事件新动态：APT 攻击 SolarWinds 全球供应链（详解）

FireEye 红队失窃工具大揭秘之：分析复现SolarWinds RCE 0day (CVE-2020-10148)

FireEye红队失窃工具大揭秘之：分析复现Zoho ManageEngine RCE (CVE-2020-10189)

FireEye 红队失窃工具大揭秘之：分析复现 Zoho 任意文件上传漏洞(CVE-2020-8394)

FireEye 红队失窃工具大揭秘之：分析复现 Confluence路径穿越漏洞 (CVE-2019-3398)

FireEye 红队失窃工具大揭秘之：分析复现 Atlassian RCE (CVE-2019-11580)

Ripple 20：严重漏洞影响全球数十亿IoT设备，复杂软件供应链使修复难上加难

被后爹坑：开源 JavaScript 库沦为摇钱树

速修复！开源企业自动化软件 Apache OFBiz 出现严重的 RCE 漏洞

谷歌提出治理开源软件漏洞的新框架：知悉、预防、修复

开源软件漏洞安全风险分析

开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析

集结30+漏洞 exploit，Gitpaste-12 蠕虫影响 Linux 和开源组件等

原文链接

https://www.dni.gov/index.php/ncsc-newsroom/item/2200-ncsc-and-partners-launch-national-supply-chain-integrity-month-in-april-a-call-to-action-campaign-to-raise-awareness-of-supply-chain-threats-and-mitigation

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~