现代供应链管理越来越依赖软件和数字化工具,而这些工具中使用的开源组件和第三方软件,可能成为信息泄露的隐蔽入口。很多企业关注的焦点是对外数据安全和供应商管理,却忽略了运行在这些场景背后的软件本身可能存在的风险。
就在去年,一个被广泛使用的开源软件库曝出了安全漏洞,全球范围内大量使用了这个库的企业系统受到影响。这些企业中不乏制造企业的供应链管理系统,攻击者有可能通过这个漏洞获取到系统中的供应商数据和订单信息。
供应链中使用的开源组件和第三方软件,主要的风险点集中在几个方面。
首要类是使用过时的开源组件。很多团队的开发习惯是一开始使用了一个稳定的开源库,然后就很少再去更新。几年下来,这个库可能已经发现了多个安全漏洞,但系统并没有打上补丁。这些未修复的漏洞就是数据泄露的通道。
管理这个问题的有效手段是建立软件物料清单。把企业使用的所有软件系统中包含的开源组件和第三方库全部登记造册,列出名称、版本号、许可证类型、已知漏洞列表。有了这个清单之后,定期做安全扫描,对照公共漏洞数据库检查组件是否存在已知漏洞。发现高危漏洞时,按照漏洞的严重等级和业务影响程度,安排修复计划。
第二类是第三方的软件供应链攻击。这是一种比较隐蔽的攻击方式,攻击者不直接攻击企业的系统,而是先攻击企业的软件供应商,把恶意代码植入到软件供应商的合法产品中或者软件开发工具中。当企业使用这些被植入恶意代码的软件或工具时,攻击者就从内部进入了企业的系统。
这种攻击近年来已经发生了多起案例。针对这种风险,企业可以采取的措施包括对核心系统使用的第三方软件做安全审查,要求软件供应商提供安全开发证明和第三方安全审计报告。对从第三方获取的代码和软件包,在部署前做自动化的安全扫描和验证签名的完整性。
第三类是许可证合规风险。开源软件的许可证类型非常多,不同许可证的使用要求差异很大。有些许可证要求企业公开使用了该组件的部分源代码,这对保护企业商业秘密来说是一个需要处理的矛盾。
企业需要建立开源组件准入的合规审核流程。在使用开源组件之前,由法务团队或者开源办公室审核组件的许可证兼容性。对许可证与商业秘密保护有冲突的组件,评估替代方案或者使用商业授权版本。
第四类是供应商软件安全管理水平的差异。供应链中的不同环节使用的软件管理水平参差不齐。有的供应商使用的供应链管理系统安全等级较高,定期做渗透测试和安全审计。有的供应商则使用老旧的文件传递方式和办公软件,安全防护基本缺失。企业核心数据经过这些管理较弱的软件系统时,随时面临泄露风险。
比较务实的做法是在选择供应商时把信息系统管理安全水平作为评估指标之一,或者在合作协议中要求供应商对供应链协同使用的软件系统做基本的安全加固。
供应链安全中还有一个容易被忽视的角度是供应链管理系统本身的运维安全。企业自己的供应链管理平台如果托管在公共云上,运维人员账号的管理、后端数据库的安全配置、API接口的访问控制,这些都是需要持续关注的安全环节。
曾经有家制造企业因为供应链管理系统的API接口没有做认证,外部人员直接通过接口获取到了完整的供应商清单和采购价格。发现问题之后,开发团队紧急为所有API接口增加了访问令牌和频率限制。
软件供应链安全管理正在从一个技术人员的专业话题,逐渐走向企业管理的常规议题。开源软件和第三方软件大大提升了供应链的数字化效率,但对其中的安全风险保持敏感,及时做好排查和修复,应当成为企业供应链保密管理的日常组成部分。
