夜雨聆风
为什么你的安全团队,总是“追不上漏洞”?
很多企业现在都会发现一个问题:漏洞越来越多、安全团队越来越忙,但风险却似乎:永远处理不完。很多安全负责人会发现,刚修复一个漏洞,新的漏洞又出现了。刚完成一次整改,新的风险又进入系统。于是,很多企业开始不断增加安全工具、增加扫描平台、增加安全人员、增加安全制度。但最终效果却并不理想。真正的问题往往并不是“漏洞太多”,而是企业的软件生产方式本身已经发生了变化。今天的软件行业已经进入持续开发、持续集成、持续交付、云原生、自动化部署时代。软件发布速度越来越快,而传统安全仍然停留在“最后检查”阶段。这也是为什么越来越多企业开始关注DevSecOps以及软件供应链治理体系。因为未来的软件供应链安全,已经不仅是技术问题,更是企业治理能力问题。而这也是GB/T 43698《网络安全技术 软件供应链安全要求》重点强调的重要方向之一。
一、为什么“最后做安全”越来越失效?
过去的软件开发往往是开发完成、测试完成、最后做安全检查。但今天很多企业已经每天发布、每周发布、甚至实时发布。也就是说软件已经从“项目式开发”变成“持续生产”。在这种情况下如果安全仍然放在最后一步,就会出现、漏洞积压、修复成本增加、发布延期、安全与研发冲突,最终安全团队永远“追着漏洞跑”。
二、为什么现代软件越来越依赖自动化?
今天的软件研发已经高度自动化,一个现代研发流程可能包括Git代码仓库、自动化构建、CI/CD流水线、自动化测试、容器镜像、自动化部署。这些系统让软件发布速度极大提升,但同时也意味着一旦某个环节被攻击,风险可能自动扩散。
三、为什么CI/CD开始成为攻击重点?
过去,攻击者主要攻击运行中的系统。今天,越来越多攻击开始瞄准软件生产流程。因为如果攻击成功进入Git仓库、Jenkins、制品仓库、Docker镜像、自动化脚本,攻击者甚至可能“合法发布恶意软件”,这也是近年来软件供应链攻击越来越危险的重要原因。
四、什么是DevSecOps?
很多企业现在开始频繁听到DevSecOps,它并不是简单增加安全工具,而是把安全融入整个研发流程。DevSecOps核心思想不是最后做安全,而是“持续做安全”,也就是说,安全不再只是安全部门的工作,而是研发流程中的一部分。
五、DevSecOps为什么越来越重要?
因为现代软件发布速度已经远远超过人工安全检查能力。因此,未来的软件安全越来越需要自动化,包括:自动扫描、自动检测、自动校验、自动阻断、自动追踪,否则企业很难跟上持续交付节奏。
六、现代软件供应链安全,需要哪些能力?
很多企业以为软件供应链安全只是漏洞扫描,实际上真正的软件供应链安全远不止如此。通常包括:
典型内容 | |
代码安全 | SAST、密钥扫描 |
组件安全 | SCA、漏洞识别 |
CI/CD安全 | 权限控制、审批 |
制品安全 | 签名、完整性校验 |
镜像安全 | 镜像扫描 |
发布安全 | 来源可信 |
权限治理 | 最小权限 |
审计追踪 | 发布可追溯 |
也就是说未来的软件安全已经从“系统安全”转向“生产体系安全”。
七、为什么很多企业安全建设失败?
很多企业其实并不缺工具,真正的问题是“只有安全部门在做安全”。例如:安全部门发现漏洞,但研发不愿整改、运维缺少配合、管理层不重视、采购不了解风险、法务不参与开源治理,最终安全建设很难真正落地。
八、软件供应链安全,本质是组织问题
真正成熟的软件供应链安全一定不是某一个部门完成的,因为它涉及多部门协同:
研发 | 安全开发 |
安全 | 风险治理 |
运维 | 发布控制 |
采购 | 供应商管理 |
法务 | 开源合规 |
管理层 | 治理决策 |
审计 | 持续监督 |
因此,软件供应链安全本质上是企业治理能力建设。
九、GB/T43698为什么强调治理体系?
因为很多企业最大的问题并不是没有安全工具,而是缺少持续治理机制。因此,GB/T43698强调:
1. 职责机制:明确谁负责什么。
2. 风险闭环:从发现 → 分析 → 修复 → 验证 → 跟踪,形成完整机制。
3. 供应商管理:外部供应商也是供应链的一部分。
4. 持续运营:软件供应链安全不是一次建设,而是长期运营能力。
十、未来的软件企业,为什么越来越强调“可信交付”?
过去,软件行业强调快速开发、快速上线。未来,越来越重要的是“可信交付”客户开始越来越关注软件来源是否可信、发布过程是否可信、是否可追溯、是否可验证。因为软件风险已经从“系统运行阶段”前移到了“软件生产阶段”。
十一、中小企业应该怎么开始?
很多中小企业会认为DevSecOps很复杂,实际上并不一定需要一次性投入大量预算。更重要的是先建立机制。例如:建议优先开始:
1. 建立组件管理机制:知道自己用了什么。
2. 建立漏洞跟踪机制:避免漏洞长期无人处理。
3. 建立CI/CD权限控制:避免高权限失控。
4. 建立发布审批机制:保证发布过程可追溯。
5. 建立持续改进机制:持续优化研发与安全协同。
很多企业现在最大的误区是认为软件供应链安全只是“增加安全工具”,实际上真正的软件供应链安全改变的是软件生产方式。未来的软件企业不仅需要会开发软件,更需要持续管理风险、管理自动化流程、管理组件、管理发布、管理整个研发体系,而这也是GB/T 43698《网络安全技术 软件供应链安全要求》正在推动的重要方向之一。
软件供应链安全能力建设观察
当前,SBOM与开源治理正在逐步成为软件供应链安全建设的重要基础能力。围绕软件组件透明化、依赖治理、漏洞可追溯以及开源合规等方向,行业正在加速形成新的治理模式。
作为长期专注于信息技术领域认证与标准化研究的专业机构,北京赛西认证有限责任公司持续开展软件供应链安全相关研究与认证实践,并围绕GB/T 43698《网络安全技术 软件供应链安全要求》推进企业软件供应链治理能力建设与行业实践探索。
在实践过程中,针对不同研发模式的软件企业,可结合实际情况逐步推进SBOM建设、开源治理及软件供应链安全体系规划。
FUTURE TECHNOLOGY
