D8-06 8–10 分钟 重要程度:高

软件供应链、第三方库、采购软件与 API 安全

现代软件大量依赖库、工具、供应商和 API。供应链安全题要优先关注来源可信、漏洞公告、补丁、完整性验证、SBOM、SLA 和持续监控。

一、必须记住

  • 第三方库能提高效率,但也会引入漏洞和许可证、维护、依赖链风险。
  • OpenSSL Heartbleed 是第三方库漏洞影响大量系统的典型例子。
  • 开发工具本身也可能被污染,XcodeGhost 说明被篡改工具链会把恶意代码注入编译产物。
  • 采购或获得软件后,组织仍需安全配置、关注供应商公告并及时修补漏洞。
  • SLA 应明确可用性、最大连续停机时间、高峰负荷、平均负荷、诊断责任和故障切换时间等服务目标。
  • API 也有安全缺陷,应进行认证、授权、输入验证、速率限制、日志和 API Fuzz。
  • SBOM 列出软件组件和依赖,有助于快速判断漏洞影响范围。
  • 软件制品签名、校验和、可信仓库和依赖锁定能降低供应链篡改风险。

二、核心概念

第三方组件风险

使用库和框架不是问题,问题是没有清单、没有版本管理、没有漏洞监控和补丁流程。Heartbleed 说明一个基础库漏洞可以扩散到大量系统。

工具链与制品完整性

编译器、IDE、构建脚本、容器镜像和包仓库都是供应链的一部分。工具链被污染时,即使源码看似干净,最终制品仍可能带恶意代码。

采购软件责任

购买软件不等于转移全部风险。组织仍需验证供应商、配置安全选项、跟踪公告、安装补丁,并用 SLA 明确服务与责任。

三、CISSP 判断规则

  • 问第三方库漏洞影响范围,选组件清单、SBOM 和漏洞管理。
  • 问开发工具被注入恶意代码,选供应链或工具链攻击。
  • 问购买软件后的安全责任,选安全配置、供应商公告和补丁管理。
  • 问 API 安全测试异常输入,选 API Fuzz。
  • 问服务可用性和故障切换责任,选 SLA。

四、常见陷阱

  • 开源不等于不安全,闭源也不等于安全;关键是治理、验证和维护。
  • 只下载官方软件不够,还要验证完整性和签名。
  • 供应商负责提供补丁,但组织负责及时评估、测试和部署补丁。

五、英文关键字

Software supply chain (软件供应链) Third-party library OpenSSL Heartbleed XcodeGhost SBOM (软件物料清单) Artifact signing (制品签名) Dependency pinning (依赖版本固定) Vendor advisory Patch management (补丁管理) SLA (服务等级协议) API security API Fuzz

小测验

1. 组织发现某开源库出现高危漏洞,想快速判断哪些系统受影响,最有帮助的是?

SBOM 提供组件和依赖清单,可快速定位受漏洞组件影响的软件。

2. 被篡改的 IDE 在编译时向应用注入恶意代码,属于哪类风险?

开发工具链被污染会影响最终制品,是供应链或工具链攻击。

3. 组织购买商业软件后,安全团队仍应优先做什么?

获得软件不转移全部安全责任,组织仍需配置、监控公告并及时修补。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成