拜登簽署網路安全行政令

1. 拜登簽署實施晶元法行政令，該行政令會帶來什麼影響

首先是提高美國在科技領域對抗中國的競爭力。採用的方法是補貼美國晶元製造業，擴大科研經費。實際上，該法案的目的是緩解晶元的持續短缺。因為，這個問題影響了從汽車到武器生產，從洗衣機到游戲機的一切。該法案還包括對晶元工廠的投資稅收抵免，預計將達到240億美元。

要知道的是關於該法案，中國外交部和商務部已明確表示，中方堅決反對干擾國際貿易。據白宮網站報道，拜登簽署的行政命令設定了實施《晶元與科學法案》的六項優先事項，還成立了由總統國家安全事務助理沙利文領導的由16名成員組成的跨部門指導委員會。其他三位聯合主席包括美國國務卿布林肯、財政部長耶倫、國防部長奧斯汀和商務部長雷蒙多。

2. 拜登為解決供應鏈問題，承諾了什麼事情

拜登承諾了解決晶元短缺問題，拜登政府正在努力解決導致美國汽車等行業停產的全球半導體短缺問題。

報道稱，預計美國總統拜登將簽署一項行政令，指示政府各部門在未來幾周對重要商品進行供應鏈審查，而晶元短缺是這一調查背後的主要關切。

兩位知情人士說，這一命令將迫使美國國家經濟委員會和國家安全委員會進行為期100天的審議，重點關注的是半導體製造和先進封裝、關鍵性礦物、醫療用品以及像電動汽車使用的那種大容量電池等。

其他供應鏈評估預計將在一年內完成，重點是核心產品——材料、技術和基礎設施——以及與國防、公共衛生、電信、能源和交通相關的其他材料。

拓展資料：

晶元短缺的原因：

首先是供需關系的變化。新冠大流行下，居家辦公或學習成為新趨勢，這導致對晶元的需求大幅上漲。居家辦公刺激了筆記本電腦、家用網路設備和顯示器的銷量增長，「上網課」促進了 Chromebook 的銷量。甚至視頻服務的盛行還導致了網路攝像頭供不應求;

新冠大流行帶來的不確定性導致訂單急劇波動。台積電高管在最近兩次財報電話會議上表示，客戶為了應對不確定性的風險開始囤積晶元。汽車製造商在疫情爆發早期低估了市場的反彈速度，因而大幅減少晶元訂單量，去年下半年這些企業試圖增加訂單時已經無法得到滿足，因為晶元製造商正在努力滿足智能手機巨頭的訂單需求;

積存：PC 製造商在 2020 年初就開始警惕半導體供應緊張問題。去年年中，主要智能手機和網路設備製造商華為開始囤積晶元，其他中國廠商也如法炮製。2020 年中國的晶元進口額攀升至 3800 億美元，約占整體進口額的 1/5。

當前，在全球晶元市場占據重要地位的製造商主要有台積電、三星和英特爾等，它們與其他一些較小規模的晶元製造商形成了全球市場的一超多強局面。

首先，台積電在晶元產能方面處於行業領先地位，各大手機廠商都希望獲得台積電的晶元。目前，台積電在全球圓晶代工市場的份額比其後三個競爭者加起來都要多。數據顯示，2020 年第 2 季度，台積電佔全球晶圓市場的 52%，遠高於其他晶元製造商。

其次，三星因其在存儲晶元領域的統治地位而成為規模較大的晶元製造商。目前，三星正努力提升生產技術，使自己成為僅次於台積電的次優選擇，從而在晶元市場分得更多羹。高通、英偉達等公司在晶元選擇上已經慢慢轉向三星，比如高通 2020 年 12 月發布的旗艦手機晶元驍龍 888 就是採用三星 5 納米工藝。

最後，英特爾也是強勢競爭者，其收益高於其他任何晶元製造商，但市場重心在於計算機晶元。生產周期的延遲使得英特爾在競爭中處於劣勢。

台積電與三星還面臨一些更小規模競爭廠商的挑戰，如格羅方德、中芯國際以及台聯電等。但是，這些競爭對手在製造工藝上至少落後台積電兩至三代。

3. 軟體供應鏈安全及防護工具研究

文 中國信息通信研究院雲計算與大數據研究所雲計算部工程師 吳江偉

隨著 5G、雲計算、人工智慧、大數據、區塊鏈等技術的日新月異，數字化轉型進程逐步推進，軟體已經成為日常生產生活必備要素之一，滲透到各個行業和領域。容器、中間件、微服務等技術的演進推動軟體行業快速發展核嫌，同時帶來軟體設計開發復雜度不斷提升，軟體供應鏈也愈發復雜，全鏈路安全防護難度不斷加大。近年來，軟體供應鏈安全事件頻發，對於用戶隱私、財產安全乃至國家安全造成重大威脅，自動化安全工具是進行軟體供應鏈安全防禦的必要方式之一，針對軟體供應鏈安全及工具進行研究意義重大，對於維護國家網路空間安全，保護用戶隱私、財產安全作用深遠。

一、軟體供應鏈安全綜述

軟體供應鏈定義由傳統供應鏈的概念延伸擴展而來。備睜業界普遍認為，軟體供應鏈指一個通過一級或多級軟體設計、開發階段編寫軟體，並通過軟體交付渠道將軟體從軟體供應商送往軟體用戶的系統。軟體供應鏈安全指軟體供應鏈上軟體設計與開發的各個階段中來自本身的編碼過程、工具、設備或供應鏈上游的代碼、模塊和服務的安全，以及軟體交付渠道安全的總和。軟體供應鏈攻擊具有低成本、高效率的特點，根據其定義可知，相比傳統針對軟體自身安全漏洞的攻擊，針對軟體供應鏈，受攻擊面由軟體自身擴展為了軟體自身內部的所有代碼、模塊和服務及與這些模塊、服務相關的供應鏈上游供應商的編碼過程、開發工具、設備，顯著降低了攻擊者的攻擊難度。同時，軟體設計和開發所產生的任何安全問題都會直接影響供應鏈中所有下游軟體的安全，擴大了攻擊所造成的影響。

近年來，軟體自身安全防禦力度不斷加大，攻擊者把攻擊目標由目標軟體轉移到軟體供應鏈最薄弱的環節，軟體供應鏈安全事件頻發，對用戶隱私及財產安全乃至國家安全造成重大威脅。最典型的如 2020 年 12 月，美國網路安全管理軟體供應商「太陽風」公司（SolarWinds）遭遇國家級 APT 組織高度復雜的供應鏈攻擊，直接導致包括美國關鍵基礎設施、軍隊、政府等在內的超過 18000 家客戶全部受到影響，可任由攻擊者完全操控。

軟體供應鏈安全影響重大，各國高度重視，紛紛推行政策法規推動軟體供應鏈安全保護工作。2021 年 5 月 12 日，美國總統拜登簽署發布《改善國家網路安全行政令》，明確提出改善軟體供應鏈安全，要求為出售給政府的軟體開發建立基線安全標准，不僅提供應用程序，而且還必須提供軟體物料清單，提升組成該應用程序組件的透明度，構建更有彈性且安全的軟體供應鏈環境，確保美國的國家安全。同年 7 月，美國國家標准與技術所（NIST）發布《開發者軟體驗證最低標准指南》，為加強軟體供應鏈安全加碼，明確提出關於軟體驗證的 11 條建議，包括一致性自動化測試，將手動測試最少化，利用靜態代碼掃描查找重要漏洞，解決被包含代碼（庫、程序包、服務）等。

我國對軟體供應鏈安全問題也給予了高度重視，2017 年 6 月，我國發布實施《網路產改滾手品和服務安全審查辦法》，將軟體產品測試、交付、技術支持過程中的供應鏈安全風險作為重點審查內容。2019 年12 月 1 日，《信息安全技術 網路安全等級保護基本要求》2.0 版本正式實施，在通用要求及雲計算擴展部分明確要求服務供應商選擇及供應鏈管理。

二、軟體供應鏈安全挑戰

目前，軟體供應鏈安全受到高度重視，但仍面臨多重現實挑戰，可以總結分為以下五大類。

1. 軟體設計開發復雜化成為必然趨勢

隨著容器、中間件、微服務等新技術的演進，軟體行業快速發展，軟體功能及性能需求也不斷提升，軟體設計開發復雜化已經成為必然趨勢。這一現狀同時帶來了軟體設計、開發及維護難度陡增，設計與開發過程不可避免的產生安全漏洞，為軟體供應鏈安全埋下隱患。

2. 開源成為主流開發模式

當前，開源已經成為主流開發模式之一，軟體的源代碼大多數是混源代碼，由企業自主開發的源代碼和開源代碼共同組成。根據新思 科技 《2021 年開源安全和風險分析》報告顯示，近 5 年，開源代碼在應用程序中所佔比例由 40% 增至超過 70%。開源的引入加快了軟體的研發效率，但同時也將開源軟體的安全問題引入了軟體供應鏈，導致軟體供應鏈安全問題多元化。

3. 快速交付位於第一優先順序

由於業界競爭環境激烈，相較於安全，功能快速實現，軟體快速交付仍處於第一優先順序，雖然軟體通常實現了安全的基本功能需求，如身份認證鑒權、加解密、日誌安全審計等，但整體安全防護機制相對滯後，以後期防護為主，前期自身安全性同步建設往往被忽視，軟體自身代碼安全漏洞前期清除存在短板。

4. 軟體交付機制面臨安全隱患

軟體交付指軟體由軟體供應商轉移到軟體用戶的過程。傳統軟體交付以光碟等存儲設備為載體，隨著互聯網等技術的發展，通過網路對於軟體進行快速分發已經成為基本模式，不安全的分發渠道同樣會對軟體供應鏈安全產生重大影響。

5. 使用時軟體補丁網站攻擊

針對軟體供應鏈安全防護，軟體的生命周期並非結束於軟體交付之後，而是直到軟體停用下線。軟體在設計及開發過程中難免存在安全缺陷，通過補丁下發部署是修復軟體缺陷漏洞的最通用方式。軟體補丁的下發部署同樣受分發渠道影響，受污染的補丁下載站點同樣會造成軟體供應鏈安全問題。

三、軟體供應鏈安全防護工具

軟體供應鏈安全涉及眾多元素及環節，參考業界常見劃分，軟體供應鏈環節可抽象成開發環節、交付環節、使用環節三部分。針對交付環節及使用環節安全防護，主要通過確保分發站點及傳輸渠道安全。開發環節與軟體源代碼緊密相關，安全防護較為復雜，囊括編碼過程、工具、設備及供應鏈上游的代碼、模塊和服務的安全，涉及四類安全工具，包括軟體生產過程中的工具和軟體供應鏈管理工具。

1. 靜態應用程序安全測試工具

靜態應用程序安全測試（SAST）是指不運行被測程序本身，僅通過分析或者檢查源程序的語法、結構、過程、介面等來檢查程序的正確性。源代碼靜態分析技術的發展與編譯技術和計算機硬體設備的進步息息相關，源代碼安全分析技術多是在編譯技術或程序驗證技術的基礎上提出的，利用此類技術能夠自動地發現代碼中的安全缺陷和違背安全規則的情況。目前，主流分析技術包括：（1）詞法分析技術，只對代碼的文本或 Token 流與已知歸納好的缺陷模式進行相似匹配，不深入分析代碼的語義和代碼上下文。詞法分析檢測效率較高，但是只能找到簡單的缺陷，並且誤報率較高。（2）抽象解釋技術，用於證明某段代碼沒有錯誤，但不保證報告錯誤的真實性。該技術的基本原理是將程序變數的值映射到更加簡單的抽象域上並模擬程序的執行情況。因此，該技術的精度和性能取決於抽象域對真實程序值域的近似情況。（3）程序模擬技術，模擬程序執行得到所有執行狀態，分析結果較為精確，主要用於查找邏輯復雜和觸發條件苛刻的缺陷，但性能提高難度大。主要包括模型檢查和符號執行兩種技術，模型檢查將軟體構造為狀態機或者有向圖等抽象模型，並使用模態/時序邏輯公式等形式化的表達式來描述安全屬性，對模型遍歷驗證這些屬性是否滿足；符號執行使用符號值表示程序變數值，並模擬程序的執行來查找滿足漏洞檢測規則的情況。（4）定理證明技術，將程序錯誤的前提和程序本身描述成一組邏輯表達式，然後基於可滿足性理論並利用約束求解器求得可能導致程序錯誤的執行路徑。該方法較為靈活性，能夠使用邏輯公式方便地描述軟體缺陷，並可根據分析性能和精度的不同要求調整約束條件，對於大型工業級軟體的分析較為有效。（5）數據流分析技術，基於控制流圖，按照某種方式掃面控制流圖的每一條指令，試圖理解指令行為，以此判斷程序中存在的威脅漏洞。數據流分析的通用方法是在控制流圖上定義一組方程並迭代求解，一般分為正向傳播和逆向傳播，正向傳播就是沿著控制流路徑，狀態向前傳遞，前驅塊的值傳到後繼塊；逆向傳播就是逆著控制流路徑，後繼塊的值反向傳給前驅塊。

2. 動態應用程序安全測試工具

動態應用程序安全測試（DAST）技術在測試或運行階段分析應用程序的動態運行狀態。它模擬黑客行為對應用程序進行動態攻擊，分析應用程序的反應，從而確定該應用是否易受攻擊。以 Web 網站測試為例對動態應用程序安全測試進行介紹，主要包括三個方面的內容：（1）信息收集。測試開始前，收集待測試網站的全部 URL，包括靜態資源和動態介面等，每一條 URL 需要包含路徑和完整的參數信息。（2）測試過程。測試人員將測試所需的 URL列表導入到測試工具中。測試工具提供「檢測風險項」的選擇列表，測試人員可根據測試計劃選擇不同的風險檢測項。測試工具在測試過程中，對訪問目標網站的速度進行控制，保證目標網站不會因為同一時刻的請求數過高，導致網站響應變慢或崩潰。測試人員在設定測試任務的基本信息時，根據目標網站的性能情況填入「每秒請求數」的最大值。測試工具在測試過程中保證每秒發送請求的總數不超過該數值。（3）測試報告。在安全測試各步驟都完成後，輸出測試報告。測試報告一般包含總覽頁面，內容包括根據測試過程產生的各種數據，輸出目標網站安全性的概要性結論；測試過程發現的總漏洞數，以及按照不同安全等級維度進行統計的漏洞數據。

3. 互動式應用程序安全測試工具

互動式應用程序安全測試（IAST）通過插樁技術，基於請求及運行時上下文綜合分析，高效、准確地識別安全缺陷及漏洞，確定安全缺陷及漏洞所在的代碼位置，主要在三方面做工作：流量採集、Agent監控、交互掃描。（1）流量採集，指採集應用程序測試過程中的 HTTP/HTTPS 請求流量，採集可以通過代理層或者服務端 Agent。採集到的流量是測試人員提交的帶有授權信息有效數據，能夠最大程度避免傳統掃描中因為測試目標許可權問題、多步驟問題導致掃描無效；同時，流量採集可以省去爬蟲功能，避免測試目標爬蟲無法爬取到導致的掃描漏水問題。（2）Agent 監控，指部署在 Web 服務端的 Agent 程序，一般是 Web 服務編程語言的擴展程序，Agent通過擴展程序監控 Web 應用程序性運行時的函數執行，包括 SQL 查詢函數、命令執行函數、代碼執行函數、反序列化函數、文件操作函數、網路操作函數，以及 XML 解析函數等有可能觸發漏洞利用的敏感函數。（3）交互掃描，指 Web 應用漏洞掃描器通過Agent 監控輔助，只需要重放少量採集到的請求流量，且重放時附帶掃描器標記，即可完成對 Web 應用程序漏洞的檢測。例如，在檢測 SQL 注入漏洞時，單個參數檢測，知名開源 SQL 注入檢測程序 SQLMAP需要發送上千個 HTTP 請求數據包；交互掃描只需要重放一個請求，附帶上掃描器標記，Agent 監控SQL 查詢函數中的掃描器標記，即可判斷是否存在漏洞，大大減少了掃描發包量。

4. 軟體組成分析軟體組成分析

（SCA）主要針對開源組件，通過掃描識別開源組件，獲取組件安全漏洞信息、許可證等信息，避免安全與法律法規風險。現有的開源組成掃描技術分為五種。（1）通過進行源代碼片段式比對來識別組件並識別許可證類型。（2）對文件級別提取哈希值，進行文件級哈希值比對，若全部文件哈希值全部匹配成功則開源組件被識別。（3）通過掃描包配置文件讀取信息，進行組件識別從而識別組件並識別許可證類型。（4）對開源項目的文件目錄和結構進行解析，分析開源組件路徑和開源組件依賴。（5）通過編譯開源項目並對編譯後的開源項目進行依賴分析，這種方式可以識別用在開源項目中的開源組件信息。

四、軟體供應鏈安全研究建議

1. 發展軟體安全工具相關技術

軟體供應鏈安全防護的落地離不開安全工具的發展使用。大力發展軟體安全工具技術，解決安全開發難點需求，進行安全前置，實現安全保護措施與軟體設計、開發同步推進。

2. 提升軟體供應鏈安全事件的防護、檢測和響應能力

軟體供應鏈安全防護需要事前、事中、事後的全方位安全防禦體系。軟體供應鏈安全攻擊事件具有隱蔽性高、傳播性強、影響程度深的特點，軟體供應鏈作為一個復雜、龐大的系統，難免存在脆弱節點，應提升對軟體供應鏈安全攻擊事件的防護、檢測和響應能力，避免安全事件造成重大影響。

3. 構建完善軟體供應鏈安全相關標准體系

通過科研院所及標准機構完善軟體供應鏈安全標准體系，普及軟體供應鏈安全防範意識，提升企業組織對軟體供應鏈安全的重視程度，進行軟體供應鏈安全投入，推進安全建設工作落實。

4. 建立軟體供應鏈安全可信生態

實現軟體供應鏈安全需要各領域企業的共同努力。企業共建安全可信生態將滿足不同用戶、不同行業、不同場景的安全可信需求，提升業界整體軟體供應鏈安全水平。

（本文刊登於《中國信息安全》雜志2021年第10期）