News

LEADING BRAND IN SECURITY ASSESSMENT - ONWARD

安華聯網解析SBOM管理對策 循序化解軟體供應鏈資安破口

2022 / 11 / 15

隨著疫情加速數位轉型,使資安威脅持續加劇,為此各個國家或產業紛紛祭出更嚴謹的資安規範,要求聯網設備製造商需建立軟體物料清單(SBOM),以此為基礎來加強軟體供應鏈安全。

安華聯網技術長劉作仁表示,不可能只依賴單一作業(例如測試)來確保產品安全性;而是需要將資訊安全的文化注入到組織裡,透過持續運作與改善,才能達到目的。

值得一提,現今包括美、加、歐洲,乃至亞太區的日、韓、星及台灣,都已祭出有關軟體供應鏈安全的規定;譬如台灣衛福部在2021年5月發佈的「適用於製造業者之醫療器材網路安全指引」,明確要求業者必須提供SBOM,作為上市前審查資料。
 

利用SBOM  追蹤檢視開源套件安全問題

綜觀各國醫療設備資訊安全要求重點,皆蘊含生命週期概念,主張將安全嵌入到設備的需求、設計、實作、風險管理等前置流程,再藉由測試方法來驗證安全問題是否被處理完畢。但即便如此,仍難以在產品上市前發掘所有問題。故各大標準開始重視產品資安事件處理(Incident Response),從而提到如何透過SBOM,製造商可以在售出產品後,持續監控產品是否受到安全問題影響。

劉作仁說,深究SBOM之所以重要,在於現今製造商大量採用開源軟體套件,以加速產品開發。但令人憂心的,經統計高達78%開源軟體都被發現至少有一個安全漏洞,導致每個應用程式平均有64個漏洞;再者,開源軟體看似免費提供,但當你進行商業使用時,便必須遵循其授權規定,導致國外出現許多版權流氓,緊盯著你是否違規,藉機展開勒索,這些都是使用開源軟體時可能存在的問題。

但是製造商不可能因噎廢食而棄用開源軟體,所以需要透過SBOM,完整記錄自己或委外廠商使用的每一個開源套件,藉此建立軟體物料清單。日後若有安全漏洞被揭露,即可根據清單檢視自己的產品是否受影響。
 

可借助黑白箱掃描  加速建立開源風險清單

正確來說,SBOM是一個用於資訊交換的格式,大量使用在軟體供應鏈。我們可透過SBOM格式與上下游夥伴交換資料,讓他們知道我使用到哪些開源軟體,及這些軟體與產品的對應關係;接收者也可依據SBOM內容,檢視對應的授權要求及判斷是否受到已知安全問題的影響。因此SBOM不只用來列出清單,亦可描述產品與軟體套件的相依性關係。

如何建立開源軟體風險管理流程?劉作仁說,首先需建立開源風險清單,接著透過像是HERCULES SecSAM開源軟體風險管理平台,自動化分析清單中是否存在已知安全問題、違反授權規定的開源套件。今天你使用的開源套件也許一切安全,但未來哪天仍會有新的弱點出現,此時藉由SBOM與自動化平台,主動偵測開源套件裡是否存在新的安全問題,第一時間便可通知研發單位進行處理,而非被動地等待客戶或者是資安研究人員通知。

萬事起頭難,對研發同仁來說,建立軟體物料清單是一個痛苦的步驟,更是莫大的負擔。除可透過人工逐一盤點外,其實善用市面上的自動化軟體,可以減輕研發同仁的負擔。目前自動化軟體可以分為兩種分析方法,一是直接分析原始碼的內容,列舉使用到的開源套件有哪些,但是這對於外包給其他團隊開發而無法取得原始碼的情況下,便只能選擇第二個方式,透過二進位制檔案分析編譯後的韌體檔案(Binary),一樣可列出所使用到的開源套件。

畢竟這些自動化工具各有侷限,無法100%完整提供正確清單,因此不管今天選擇執行白箱原始碼掃描,或黑箱Binary檔案掃描,都有可能出現落差或誤判,仍需搭配研發人員檢視掃描結果的正確性。
 

利用自動化管理平台  有效控制開源軟體風險

針對盤點後的開源套件清單,可以匯入到管理平台,並利用平台所支援的SWID格式,將SBOM匯出給供應鏈夥伴或客戶,或者反過來請他人匯入清單,以利安全或研發團隊執行主動監控。

以HERCULES SecSAM為例,當清單匯入後,系統每日會自動與美國國家弱點資料庫(NVD)進行比對,協助用戶找出亟待修復的安全問題。所以在SBOM導入過程中,你往往會發現目前所使用的開源套件存在大量已知安全問題,針對這些問題,我們可藉由通用弱點評分系統(CVSS)來區分它們的嚴重程度,配合內部自己針對產品安全的處理程序,因應其風險等級展開對應的處置行動,借助Bug Tracking平台自動產生事件單,即時將重大風險與高風險的安全問題傳遞給研發單位,以便進行後續修正,讓軟體安全漏洞的處理更加自動化,也順勢提升它的可視性。

總括而論,我們可以善用自動化管理平台,有效解決開源軟體風險管控、SBOM管理等複雜問題,繼而整合第三方軟體弱點報告,介接問題追蹤管理系統的CI/CD工具,讓使用者以更彈性、更便利的方式,進行軟體安全漏洞的管理、追蹤及警示。
 
安華聯網解析SBOM管理對策  循序化解軟體供應鏈資安破口

媒體報導