随着全球网络安全态势日趋严峻,数据安全和供应链安全逐渐成为公众关注和产业研究的焦点。本文旨在深入分析这两个领域的现状,探讨所面临的共性问题,并介绍成方金科提出并倡导的应用安全质量评价模型,以期为应用研发过程中的安全防护提供有益参考。
近年来,全球公开数据安全事件频发,其中数据事件尤为突出。数据往往与勒索软件攻击相伴,而供应链中的安全漏洞是勒索实施攻击的关键。应用系统的供应链,包括其编码阶段所引用的组件及运行所依赖的系统软件,共同构成了系统的安全基础。在IT行业新建应用软件中,高达80%的代码源自开源,一旦供应链中的任何组件出现安全漏洞,都将对整个系统构成威胁。
根据漏洞库的数据,每年新增的公开漏洞数量庞大,其中高危和超高危漏洞占比不容忽视。调查显示,许多勒索软件团队利用的漏洞是在两年前甚至更早发现的,这表明未能及时更新软件补丁以修复已知漏洞,给了勒索可乘之机。
针对这一现状,我们认识到,针对每一个漏洞迅速排查受影响的应用系统范围、评估其安全性受影响的程度,以及决定修复策略和资源投入的紧迫性。我们提出了一套应用安全质量评价模型。该模型以相对的评分标准衡量应用软件的安全质量,比较同一应用软件不同历史阶段以及不同应用软件之间的安全性水平。
成方金科的应用研发安全性评价体系基于评价的相对性和动态性进行设计。相对性意味着评分是基于内其他系统的比较,而动态性则体现在面对新漏洞威胁和整体应用安全性水平变化时,评价结果的实时调整。该体系不仅考虑了静态安全,如源代码安全和组件安全等,还特别强调了主机安全的重要性。
在实现评价体系的具体落地方面,我们构建了一套包括指标体系、数据体系、评价模型、工具体系以及管理与服务的支撑体系。其中,指标体系对评价内容进行了详细分类并确定了各指标的权重;数据体系则负责统一各类安全问题的定级标准;评价模型则根据采集到的数据计算应用软件的安全性评价结果;而工具体系则主要负责安全缺陷的检测和评价数据的采集。
我们还特别关注了主机安全的重要性。主机安全涉及软件运行环境的安全状态,是软件“外部”的供应链安全。将主机安全纳入应用安全的范畴,不仅是对运行部门的保障职责的强调,也是对研发人员安全指标关注的提醒。
在评价体系的实际应用中,我们通过数字供应链安全服务在所有应用软件中排查漏洞影响范围,并自动筛选出受影响的应用软件,动态调整其安全性评价分数。通过DevSecOps流水线检测机制、数字供应链安全服务、安全检测工具以及安全管理手段的有机结合,我们基本实现了应用软件安全风险的自动检测、半自动定级和自动评价。
该评价体系的应用使得离散的安全问题在统一的安全体系内被映具有量化权重的子类。研发人员在面对每年数万新增的公开安全漏洞时能够清晰掌握哪些缺陷的修复能够显著提升应用软件的安全性水平。管理层可观测到不同系统之间的安全性差异并实施针对性的纠正措施。经过两年的应用实践,应用软件整体的量化安全风险降低了79%。
应用研发安全性评价体系的建设是保障研发安全的重要手段。通过科学合理的评估指标、积极修复具有较大影响的安全漏洞以及引导研发人员追求更高的安全目标等措施,可以大大提升应用研发的整体安全性。未来,随着安全漏洞和技术的不断发展,我们将继续优化和完善这一评价体系以适应新的安全挑战。