D8-06 8–10 分钟 重要程度:高
软件供应链、第三方库、采购软件与 API 安全
现代软件大量依赖库、工具、供应商和 API。供应链安全题要优先关注来源可信、漏洞公告、补丁、完整性验证、SBOM、SLA 和持续监控。
一、必须记住
- 第三方库能提高效率,但也会引入漏洞和许可证、维护、依赖链风险。
- OpenSSL Heartbleed 是第三方库漏洞影响大量系统的典型例子。
- 开发工具本身也可能被污染,XcodeGhost 说明被篡改工具链会把恶意代码注入编译产物。
- 采购或获得软件后,组织仍需安全配置、关注供应商公告并及时修补漏洞。
- SLA 应明确可用性、最大连续停机时间、高峰负荷、平均负荷、诊断责任和故障切换时间等服务目标。
- API 也有安全缺陷,应进行认证、授权、输入验证、速率限制、日志和 API Fuzz。
- SBOM 列出软件组件和依赖,有助于快速判断漏洞影响范围。
- 软件制品签名、校验和、可信仓库和依赖锁定能降低供应链篡改风险。
二、核心概念
第三方组件风险
使用库和框架不是问题,问题是没有清单、没有版本管理、没有漏洞监控和补丁流程。Heartbleed 说明一个基础库漏洞可以扩散到大量系统。
工具链与制品完整性
编译器、IDE、构建脚本、容器镜像和包仓库都是供应链的一部分。工具链被污染时,即使源码看似干净,最终制品仍可能带恶意代码。
采购软件责任
购买软件不等于转移全部风险。组织仍需验证供应商、配置安全选项、跟踪公告、安装补丁,并用 SLA 明确服务与责任。
三、CISSP 判断规则
- 问第三方库漏洞影响范围,选组件清单、SBOM 和漏洞管理。
- 问开发工具被注入恶意代码,选供应链或工具链攻击。
- 问购买软件后的安全责任,选安全配置、供应商公告和补丁管理。
- 问 API 安全测试异常输入,选 API Fuzz。
- 问服务可用性和故障切换责任,选 SLA。
四、常见陷阱
- 开源不等于不安全,闭源也不等于安全;关键是治理、验证和维护。
- 只下载官方软件不够,还要验证完整性和签名。
- 供应商负责提供补丁,但组织负责及时评估、测试和部署补丁。
五、英文关键字
Software supply chain (软件供应链) 定义:软件从源码、依赖、工具链、构建到交付的完整链条。 Third-party library OpenSSL Heartbleed XcodeGhost SBOM (软件物料清单) 定义:列出软件组件、版本和依赖关系。 Artifact signing (制品签名) 定义:用数字签名验证构建产物来源与完整性。 Dependency pinning (依赖版本固定) 定义:锁定依赖版本以减少供应链漂移风险。 Vendor advisory Patch management (补丁管理) 定义:评估、测试、批准、部署并验证补丁。 SLA (服务等级协议) 定义:定义服务绩效指标、责任和处罚条款。 API security API Fuzz
小测验
1. 组织发现某开源库出现高危漏洞,想快速判断哪些系统受影响,最有帮助的是?
SBOM 提供组件和依赖清单,可快速定位受漏洞组件影响的软件。
2. 被篡改的 IDE 在编译时向应用注入恶意代码,属于哪类风险?
开发工具链被污染会影响最终制品,是供应链或工具链攻击。
3. 组织购买商业软件后,安全团队仍应优先做什么?
获得软件不转移全部安全责任,组织仍需配置、监控公告并及时修补。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成