前 言
为便于客户能够全面、清晰地了解供应链产品安全评估服务的完整流程,我中心特此编制本服务指南。本指南将从初步咨询、明确评估范围与内容、样品送检直至最终报告出具,逐一阐述各个环节,确保客户能够高效、便捷地掌握服务流程全貌。本指南的编写严格遵循《软件成分分析系统技术要求与测试评价方法》、《软件产品供应链安全检测技术规范标准》、《软件供应链检测中心及分中心建设方案》等权威服务指导文件。这些文件为我们提供了编写指南的理论基础和实践指导。请注意,随着服务指导文件的更新,本指南的内容也将同步进行修订,以确保信息的准确性和时效性。因此,在使用本指南时,请务必参考最新版本,以获取最新的服务流程信息。
一、背景介绍
国内快速发展数字化转型,为软件应用带来新的发展空间的同时供应链安全问题不容忽视。开源组件构建应用的开发,会导致安全漏洞数量巨增。根据第9版开源安全和风险分析(OSSRA)报告中的数据,其审计服务团队在2023年间审查了来自17个行业的1,067个商业代码库中,其中84%的代码库包含已知的漏洞,高达74%的代码库包含有高风险漏洞。96%的被审代码库中含有开源代码,77%的开源代码存在于被审的代码库中。超过半数的代码库存在许可证冲突问题,不具备许可证的开源代码占比超过3成。9成以上的开源组件落后10个版本以上。大部分代码库中都含有开源代码,许可证冲突、不具备许可证、开源组建落后等问题。为积极应对开源生态下的软件供应链安全面临的挑战,推动供应链网络安全能力提升、加速供应链企业的合规化进程、进一步完善供应链评级评价平台与构建良性发展的供应链安全生态体系,公安部第三研究所成立供应链安全能力中心。
1.公安部第三研究所
公安部第三研究所是公安部直属科研单位,立足服务公安实战,肩负科技兴警重任,拥有一支强劲竞争实力的科研人才队伍。主要从事信息网络安全、公安物联网、公安大数据、监测评估、经侦、刑侦、禁毒、治安、安全防范、教育培训等技术领域的产品和系统研发,致力于为公安一线提供核心关键技术支撑与系统解决方案。
2.供应链安全能力中心
供应链安全能力中心由总中心及分中心构成。公安部第三研究所统筹建设供应链安全能力总中心,各省建设供应链安全能力分中心。总中心集中构建供应链安全专业化能力,为全国各分中心提供专业能力支撑。总中心统筹各方需求,驱动需求落地,整合安全领域专业能力,通过遴选安全能力支持单位,整编各方能力,形成能力最优集,集成模块化安全能力,形成系统化体系化解决方案。总中心负责分中心的认定、建设指导、审核评估、供应链标准推广、规范落地等工作。各分中心着力提升省域范围内供应链企业安全水平,为全省提供网络安全基座,在供应链体系中完成网络安全的“最后一公里”能力提升,增加省域范围内企业在IT输出上的竞争力,带动省域网络安全能力建设。
3.供应链安全能力分中心(浙江)
通过公安部第三研究所授权,由物产中大集团旗下二级子公司物产中大数字安全科技(浙江)有限公司承建并履行浙江分中心评估认证、培训等相关业务。重点聚焦安全认证及安全培训认证服务,主要支撑省内网安工作、供应链产品检测供应链安全评估与分析咨询,具备专业检测能力和专家标准制定能力。
二、评估服务
1.评估目的
基于行业标准和运营准则向客户提供综合性的供应链产品安全评估服务、供应商评估与安全审计服务。全面增强企业供应链的安全性和可靠性,确保对供应链中潜在风险的高效管理和控制。推动供应链安全生态健康与有序发展,为数字安全领域构筑起坚实的防线。
2.评估单元
软件供应链安全评估认证服务,主要的评估单元包括:软件成分分析、软件基因二进制安全分析、容器镜像安全、动态应用程序安全评估、静态应用程序安全评估五项内容。
(1)软件成分分析
软件成分分析(SCA,Software Composition Analysis)用于分析开发人员使用的各种源码、模块、框架和库,以识别和清点开源软件的组件及其构成和依赖关系,并识别已知的安全漏洞或者潜在的许可证授权问题,这些风险排查在应用系统投产之前,也适用于应用系统运行中的诊断。
(2)软件基因二进制安全分析
软件基因二进制安全分析(Gene)专注于对已编译的二进制文件进行分析,以识别其中的安全漏洞和潜在威胁,特别是针对软件供应链的安全问题。二进制安全工具能够检测二进制文件中的已知漏洞、恶意代码、逆向工程尝试和其他安全问题。二进制安全分析在保障应用程序和系统软件的完整性和安全性方面起着关键作用,有助于在供应链的各个环节发现和修复安全漏洞,确保供应链中每一个组件的安全性,防止供应链攻击。
(3)容器/镜像安全扫描
容器安全(Container)专注于确保容器化应用在构建、部署和运行时的安全性,特别关注软件供应链的安全。容器安全工具通过扫描容器镜像以识别和修复已知漏洞,监控容器运行时的行为以检测异常活动,并管理容器的网络和权限设置以防范潜在的安全威胁。它们还可以确保所用的基础镜像和第三方组件符合安全标准和最佳实践,防止供应链攻击。通过提供实时的安全监控和自动化的修复建议,容器安全解决方案帮助开发团队和运维团队在整个容器生命周期内维护应用系统的安全性和合规性,确保从源头到生产环境的供应链安全。
(4)动态应用程序安全评估
动态应用程序安全评估(DAST,Dynamic Application Security Testing)是一种通过在应用程序运行时进行分析,以检测和识别安全漏洞的方法。DAST工具模拟外部攻击者的行为,在不访问应用程序源码的情况下,通过发送不同类型的输入和请求,观察应用程序的响应和行为,从而发现潜在的安全问题。这种测试方法能够有效检测出SQL注入、跨站脚本攻击(XSS)等常见的安全漏洞,有助于在应用系统投产之前或运行过程中识别和修复安全隐患。
(5)静态应用程序安全评估
静态应用程序安全评估(SAST,Static Application Security Testing)是一种白盒测试技术,通常在编码阶段分析应用程序的源代码或二进制文件的语法、结构、过程、接口等来发现程序代码存在的安全漏洞。是在开发阶段对源代码进行安全测试发现安全漏洞的测试方案。
三、咨询缴费
1.咨询方式
(1)线上咨询
若需进一步咨询或了解评估服务的相关事宜,请扫描下方二维码关注我中心官方公众号“供应链安全能力浙江分中心”,获取常见问题解答列表以及更多资讯。
在该公众号内留言,我中心工作人员将在24小时内给予正式回复。除公众号外,您可通过以下联系方式直接拨打我中心电话,以便我们为您提供更为专业的服务。
办公电话:0571-87059842
工作时间:周一至周五 08:30 - 11:30,13:30 - 17:30
(2)线下咨询
若您有进一步的需求,亦可直接前往分中心进行现场咨询。为确保您的咨询体验,请务必提前三日以上,通过办公电话预约现场咨询的时间。感谢您的配合与支持。
办公地址:杭州市上城区凯旋路445号物产国际广场3层 公安部第三研究所供应链安全能力分中心(浙江)
2.协议签订
在您全面且细致地审阅并明确了本次评估的具体内容与评估范围之后,为确保双方权益得到充分保障及评估流程的顺利进行,我们诚挚地邀请您与我中心进一步沟通协商,以便共同签署指定评估服务的协议。此协议将明确界定双方的权利与义务,包括但不限于评估的具体目标、执行标准、时间框架、费用结构、报告格式及交付日期等关键要素。同时,我们也将就评估过程中可能遇到的数据保密、风险防控及争议解决机制等方面做出详细约定,以确保整个评估流程的专业性、公正性及高效性。
3.缴费支付
协议一经双方签署生效,请遵循协议条款,于指定时间期限内完成评估服务费用的缴纳。及时缴纳评估服务费用可以确保我中心能够合理调配资源,保障评估服务的正常开展与高效执行,以符合您的期望与需求。
四、送检须知
在完成评估服务费用的缴纳后,请及时准备并寄送相关评估所需物料至我中心指定地址。为确保评估流程的顺利进行,请您仔细核对物料清单,确保无遗漏且符合送检标准(参考本章节第三条物料要求)。关于送检方式,我们提供线上与线下两种选择。请您根据实际情况选择合适的送检方式,并遵循我中心的具体指导进行操作。我们承诺在收到物料后,将立即启动评估程序,确保评估服务的及时性与专业性。如有任何疑问或需进一步协助,请随时与我中心联系。
1.线上方式
请将相关文件数据压缩打包后通过电子邮件发送到指定邮箱。请注意,邮件中请附上文件清单(包含文件名,文件格式等信息)以及对接人联系方式。我们在收到邮件后,将尽快进行查收并确认文件的完整性。如有任何疑问或需要进一步的信息补充,我们将及时与您取得联系。
邮箱地址:shanghq@wzgroup.cn
2.线下方式
请将相关文件数据压缩打包后存储在物理介质中,如U盘、光盘等。物料通过挂号信的方式寄送到我中心。随信请附上文件清单(包含文件名,文件格式等信息)以及对接人联系方式。我们在收到信件后,将尽快确认文件的完整性。如有任何疑问或需要进一步的信息补充,我们将及时与您取得联系。
邮寄地址:杭州市上城区凯旋路445号物产国际广场3层3B室 公安部第三研究所供应链安全能力分中心(浙江)
3.物料要求
原则上,我中心推荐对评估软件的源代码文件打包送检,其他评估所需物料内容参考如下:
(1)软件成分分析
请提供未经混淆的源代码或制品,常见的支持SCA扫描的文件类型包括应用包(*.tar, *.tar.gz, *.tgz, *.bz2, *.tar.bz2, *.tar.xz, *.gz, *.7z, *.zip, *.rar, *.jar, *.war, *.whl)、依赖文件(pom.xml, go.mod, requirements.txt等)。
无法提供源代码的情况下,将由我中心提供客户端程序,在待检测系统的开发环境中运行,自动生成中间文件与哈希值,我中心将对该中间文件进行检测业务,检测结果仅对该中间文件负责。
(2)二进制安全分析
请提供未混淆或加密的二进制文件,常见的支持BSA扫描的文件类型包括(*.exe, *. msi, *.dll, *.bin, *.o, *.so, *.apk,*.ipa等)。
(3)容器/镜像扫描
请提供打包好的镜像文件,常见的支持CSP扫描的镜像文件类型包括应用包(*.tar, *.tgz, *.tar.gz)。
(4)动态应用安全测试
请提供一套与生产环境相同、版本相同的公网扫描检测环境以及鉴权信息(如有)。
(5)静态应用程序测试
请提供未混淆的可编译源代码压缩包。常见的支持SAST扫描的文件类型包括(*.tar, *.gz, *.zip, *.rar, *.jar, *.aar)。
五、评估流程
1.入库阶段
合同签订后,由技术人员对接项目信息。我中心将提供《评估服务单元简介》与《评估物料清单》,由客户填写清单后随物料一同寄送。收到物料后,我中心将及时启动入库流程。严格按照保密规定处理物料数据。入库时,我们将进行详尽的核验,确保物料准确、完整、无误,为后续评估奠定坚实基础。如果出现物料受损、资料与清单不符等情况,我中心将及时联系对接人,沟通物料补全事宜。
核验无误入库后,我中心技术部门将启动对应的安全评估服务。除DAST外,所有流程均在内网环境中进行,以确保评估过程的安全与数据的保密。同时,所有数据均在监管下进行评估。评估完成后,我中心将对物料与评估结果进行归档处理,并以物理隔离的方式妥善存储,以确保评估数据的安全与可追溯性。
2.评估阶段
我中心将合理调配资源、指派专业技术人员开展技术服务。根据客户选取的评估服务,技术人员使用专业工具对物料文件进行扫描评估。获取初步评估结果后,技术人员对评估结果中的信息逐条评审,排除误报结果后生成第一版评估结果。由交叉审核人员对原始数据与第一版评估结果进行复验并生成最终版评估结果,确保结果的真实性与准确性。
3.整改阶段
技术人员根据第一版评估结果预估产品安全分值,如果预估安全分值未达标,分中心会提供列有详细风险组件和漏洞分布等信息的报告,且每种风险都会尽可能提供可参考的整改意见。客户根据自己的实际情况进行整改。请注意,分中心仅提供整改意见以供参考,不参与任何整改程序。客户整改完成后按照标准流程寄送至我中心,我中心提供一次免费复检。请在整改后及时进行复检。
4.评估结果
复检后相应评估结果数据将上传至公安部第三研究所相关平台,根据平台给出的分数定级。达标的系统将由公安部第三研究所出具并授予产品供应链安全技术分析报告,报告中显示文件信息与供应链安全等级。当次评估结果仅对送检文件的版本负责。
六、报告出具
1.评分阶段
技术人员上传评估结果至公安部第三研究所平台后,平台将上传的数据划分为多个维度,每个维度按照对应的标准打分。所有维度给出评分后,按照维度权重汇总计算产品安全分值。根据分值进行定级。
2.报告出具
评估分值在及格以上的产品,将由公安部第三研究所出具并授予客户一份带有公安部第三研究所公章的技术分析报告,以示软件产品通过供应链安全能力评估认证。报告中带有产品安全分值以及产品供应链安全等级。
附件:
数安官方公众号
分中心公众号