是一個(gè)介紹如何利用思科先進(jìn)技術(shù)解決客戶(hù)難題的欄目。每期聚焦一個(gè)技術(shù)熱點(diǎn)或應用場(chǎng)景，邀請資深思科技術(shù)專(zhuān)家深入淺出地介紹，為讀者提供實(shí)用性強的建議。

　　提到供應鏈，大家通常都會(huì )想到各種商品的采購和供應，熟悉思科的行業(yè)人士還會(huì )想到思科蟬聯(lián) Gartner 評選的全球供應鏈企業(yè)第一。思科的端到端供應鏈風(fēng)險管理，也是 NIST (國家標準技術(shù)研究所)官方發(fā)布的最佳實(shí)踐 ( Best Practices In Cyber Supply Chain Risk Management )。我們以其中的思科供應鏈主安全規范為例，列舉了 11 個(gè)安全域的 180 個(gè)規范定義，既包括各類(lèi)硬件產(chǎn)品供應鏈，也包括各類(lèi)軟件產(chǎn)品的全生命周期供應鏈安全規范和管理，比如其中第 10 項為：

　　10.1 Secure Design and Development Lifecycle (安全設計和開(kāi)發(fā)生命周期)

　　10.2 Configuration and Change Management (配置和變更管理)

實(shí)物供應鏈 vs 軟件供應鏈(從 Plan 到 Monitor “鏈” )

　　那么為什么思科要將軟件供應鏈安全作為安全管理的重要內容呢？

　　首先一個(gè)原因是，開(kāi)源軟件已成為現代化軟件開(kāi)發(fā)過(guò)程中最最基礎的軟件供應鏈原材料。軟件吞噬世界、云計算和云原生的迅猛發(fā)展，都印證并加速了開(kāi)源領(lǐng)域的進(jìn)步與無(wú)限普及。但這也導致供應鏈條無(wú)限復雜，企業(yè)往往無(wú)從知曉應用引用了多少開(kāi)源代碼，也無(wú)從知曉開(kāi)源引用的層級數量。這種不可知性，一旦遇到企業(yè)兼并、應用整合的情況，就會(huì )非常棘手1。

　　正如從Plan到Monitor “鏈”，以鏈條形式形象地標示了 SDLC ( Software Development Life Cycle ) 的每一個(gè)基本環(huán)節，每一個(gè)環(huán)節都會(huì )發(fā)生上圖的復雜引用/依賴(lài)關(guān)系，伴隨而來(lái)的是無(wú)處不在的安全風(fēng)險。

　　Plan 到 Monitor “鏈” ，還只是極簡(jiǎn)的 SDLC 過(guò)程示意圖，這里舉一個(gè)實(shí)際的產(chǎn)品例子。作為 SD-WAN 市場(chǎng)領(lǐng)導者 ( Gartner 2022 ) ，思科 vManage SDLC實(shí)際的完整流程 (針對 AWS VPC 場(chǎng)景) 如下。

針對 AWS VPC 的持續集成/持續部署

　　自動(dòng)化地持續集成和持續部署，也即人們常說(shuō)的 CI/CD Pipeline ，雖然看起來(lái)是另一個(gè)層面的示意簡(jiǎn)圖，但已然相當 “復雜” 了。在很多企業(yè)里面，完整的應用都是模塊化的，每個(gè)模塊的 CI/CD Pipeline 亦往往比上圖更加復雜，代碼引用和依賴(lài)甚至會(huì )達到撲朔迷離、盤(pán)根錯節、縱橫交錯的程度，這給了無(wú)處不在的網(wǎng)絡(luò )威脅更多可乘之機，最終釀成事故，比如近些年發(fā)生的 NPM 包被劫持、Apache Log4j2 、NPM 包遭供應鏈投毒、開(kāi)源音頻編解碼器漏洞、依賴(lài)包混淆攻擊、 API 誤用……

　　此外，如今受到熱捧的低代碼、無(wú)代碼、多云/混合云，更是讓?xiě)�用安全漏洞變得無(wú)處不在，企業(yè)比以往任何時(shí)候更需要確保端到端全鏈路(技術(shù)域)軟件供應鏈安全。

層次化安全技術(shù)域

　　企業(yè)應從戰略高度考慮整體安全，對應到軟件供應鏈，既要考慮軟件的 SDLC 、又要考慮軟件的傳播、內部/外部使用。缺乏足夠安全，不僅影響基本的軟件供給，也會(huì )影響企業(yè)的創(chuàng )新和競爭力，并帶來(lái)多方面的巨大損失。如果您正制定現代數字化轉型戰略，那么軟件供應鏈安全將成為您戰略基礎的重要部分。

　　雖然如此，就絕大多數企業(yè)而言，軟件供應鏈安全依然處于“第二優(yōu)先級”，優(yōu)先級依然處于后開(kāi)發(fā) ( post-development ) 、后部署 ( post-deployment ) 級別，甚至更低。滿(mǎn)足產(chǎn)品研發(fā)需求、滿(mǎn)足市場(chǎng)業(yè)務(wù)需要，依然是軟件開(kāi)發(fā)中第一優(yōu)先級，將軟件安全完全交(踢)給了后期部署、運維。這與應對日益增長(cháng)的軟件供應鏈安全攻擊 ( Gartner – 2022 年主要安全和風(fēng)險管理趨勢 ) 的正確做法背道而馳。

　　改進(jìn)的唯一方法，就是在軟件開(kāi)發(fā)周期伊始 ( Shift Left ) ，便將安全性作為主要考慮因素和驅動(dòng)力，從軟件代碼開(kāi)發(fā)流程的源頭做起，而不是軟件開(kāi)發(fā)最后的附加組件。

從軟件代碼開(kāi)發(fā)流程開(kāi)始就考慮安全性

　　前述 NIST 機構發(fā)布的思科軟硬件供應鏈最佳實(shí)踐，既體現在思科自身的成功實(shí)踐中2，也體現在思科成功的商用產(chǎn)品交付中，即思科六大技術(shù)戰略支柱之一 —— 優(yōu)化應用體驗與安全 ( Optimized Application Experiences ) ， 提供全棧可觀(guān)察的智能運維和層次化軟件供應鏈安全防護。思科 Secure Application 也是業(yè)界排名第一的安全解決方案3。

思科層次化安全， 全域保護軟件供應鏈安全

　　數字化企業(yè)正處于一個(gè)日益動(dòng)態(tài)演進(jìn)的環(huán)境中，需要在快速創(chuàng )新的同時(shí)，遏制惡意安全威脅上升的空前勢頭。行業(yè)數據統計顯示，平均每個(gè)企業(yè) 39 秒就會(huì )遭受一次攻擊，且發(fā)現漏洞的平均時(shí)間超過(guò) 6 個(gè)月。除了不斷上升的安全風(fēng)險之外，隨著(zhù)組織采用云技術(shù)來(lái)獲得靈活性和成本優(yōu)勢，現代應用系統的復雜性也在增加。傳統的應用系統和安全監控工具并未跟上技術(shù)發(fā)展的步伐，讓?xiě)�用和安全團隊難以有效監管軟件供應鏈的安全邊界。各個(gè)團隊需要一種新方法在不犧牲效率的同時(shí)，保障軟件供應鏈安全。

　　思科認為層次化、全域、Shift Left、持續評估、持續適配是軟件供應鏈安全防護五大特色。軟件從 “生產(chǎn)” 到 “消費” ，有效的供應鏈保護必須從代碼的源頭做起，并隨著(zhù)軟件的啟用、流淌過(guò)網(wǎng)絡(luò )上不同層次的技術(shù)域，為整個(gè)技術(shù)域的 “鏈條” 提供安全防護。“生產(chǎn)” 出的軟件代碼不是一成不變的，為響應市場(chǎng)需求而快速迭代應用代碼，是現代化軟件特色，但不能因為反復迭代而忽略或減低應用安全防護。因此構建層次化安全防護的同時(shí)，需要對迭代的應用做持續評估、持續適配。

DevSecOps – 持續評估安全威脅、與業(yè)務(wù)邏輯管理

　　通過(guò)在應用開(kāi)發(fā)、運維和安全團隊之間創(chuàng )建共享上下文來(lái)簡(jiǎn)化漏洞修復和安全事件的生命周期。

　　負責性能監控的運維工程師也可實(shí)時(shí)訪(fǎng)問(wèn)所有安全事件。AppSec 和開(kāi)發(fā)人員可以深入洞察應用訪(fǎng)問(wèn)的異常行為和受影響的業(yè)務(wù)，在同一平臺中無(wú)縫協(xié)作，消除隱患。與此同時(shí)，AppSec 和 Devops可將安全性引入現有的軟件供應鏈自動(dòng)化并推進(jìn) DevSecOps 文化，在持續運行時(shí)保護、實(shí)時(shí)修復和安全性自動(dòng)化的加持下，確保更低風(fēng)險、更高效的運營(yíng)。

DevSecOps – 在應用開(kāi)發(fā)和安全運營(yíng)之間構建通用的語(yǔ)言

　　思科 “優(yōu)化應用體驗與安全” 業(yè)務(wù)，基于云原生、全棧可觀(guān)察 ( FSO ) 和應用安全三大類(lèi)解決方案，幫助客戶(hù)深入拓展云原生應用、基礎架構自動(dòng)化，提供從應用到基礎架構的全棧可觀(guān)察，保障客戶(hù)全棧全生命周期的層次化軟件供應鏈安全。這一塊業(yè)務(wù)，已經(jīng)連續五年保持兩位數增長(cháng)，足以說(shuō)明客戶(hù)對思科 “安全” 理念和貫徹理念能力的認可。未來(lái)我們還會(huì )與大家分享思科在這一領(lǐng)域的更多實(shí)踐。

　　1. 參考思科官網(wǎng)報告，Moving Left and Right， Cybersecurity Processes and Outcomes in M&A Due Diligence， by CLTC， UC Berkeley

　　2. 參考思科官網(wǎng)相關(guān)白皮書(shū) Cisco Secure Development Lifecycle

　　3. 參考Gartner報告，Critical Capabilities for Application Performance Monitoring and Observability， 2022年