本文来自微信公众号“天翼智库”,作者/巩娜鑫。
人工智能作为新一轮产业变革的核心驱动力,为推动软件供应链安全可信提供了新的路径,Gartner多次将其列为影响供应链发展的战略性技术趋势。本文通过对IBM、谷歌、MIT、Altana AI等的案例分析,提出将人工智能技术和方法纳入软件供应链安全管理的顶层设计、引入现有开源软件治理和供应链攻击防护工具、融入供应商管理的全生命周期等建议。
软件供应链安全的风险分析
软件供应链安全事件具有影响范围广、攻击效率高、传播性和隐蔽性强等特点,近年来成为网络空间攻防对抗的焦点。然而,由于依赖关系复杂、溯源困难,软件供应链安全治理形式愈发严峻。
1.开源软件广泛使用加剧软件供应链的脆弱性
开源软件总体缺陷密度和高危缺陷密度逐年上升。根据奇安信《2023中国软件供应链安全分析报告》对2098个开源软件项目源代码的检测结果,2022年项目整体缺陷密度为21.06个/千行,高危缺陷密度为1.29个/千行,与2021年相比分别增长了40.8%和35.8%。
开源软件维护者和使用者对安全问题重视不足。同样根据奇安信的检测结果,近三年来,不活跃开源软件项目占比从61.6%上升至72.1%,从未公开披露过漏洞的关键基础开源软件占比增长了8.4%,开源漏洞修复率仅有36.9%且平均修复时间超过一年。此外,从使用者角度,被检测的项目中约1/6使用了含超危或高危许可协议的开源软件,个别组织甚至存在20多年前的开源软件漏洞仍未被修复的情况。
2.外部不确定性导致供应链攻击和断供风险增加
根据软件管理工具提供商Sonatype的数据,近三年来,软件供应链攻击的年均增长率达到742%。Gartner分析指出,到2025年,全球45%的组织都将遭受供应链攻击。自微软2017年提出针对软件供应链的网络攻击这一概念以来,软件供应链攻击因门槛低、成本低等特点被广泛使用,又因强隐蔽性和高传播性的特点产生了极大的危害性,例如始于2019年9月的SolarWinds攻击,直至2020年12月才被披露;基于开源组件引入的Log4j2远程命令执行漏洞,影响了超过6万个流行开源软件以及70%以上的企业线上业务系统。
与此同时,随着国际政治局势的日趋复杂,断供成为影响软件供应链安全的重要因素。俄乌冲突中,西方国家及机构对俄发起严厉的供应链制裁措施,全面断供断服操作系统、数据库和云服务等商业软件及开源项目,严重威胁电信、能源、金融等关键基础设施领域安全。
人工智能赋能软件供应链安全的案例分析
1.IBM:基于AI的供应链整体解决方案
IBM坚持利用人工智能和自动化应对不确定性、强化供应链弹性的发展思路,推出基于AI的供应链优化和自动化解决方案,有效提升了供应链弹性和运营效率,在实践中具备以下三个显著优势:第一,通过嵌入式AI实现端到端的可见性,提供全球性的供应链网络统一视图,帮助用户确定问题优先级并快速决策;第二,通过智能化提升多方合作效率,在事件发生时及时响应,将处理关键供应链中断事件所需时间从18-21天缩短到几个小时;第三,实施“透明供应链计划”,引入基于IBM区块链构建的智能套件,持续提升供应链透明度和可追溯性。
2.谷歌:基于生成式AI的开源软件漏洞查找
谷歌将LLM大语言模型融入到模糊测试工具OSS-Fuzz中,通过自动集成项目代码信息,成功实现模糊测试的全流程智能化及代码检测效率和覆盖率的有效提升。OSS-Fuzz是谷歌在2016年推出的一个开源项目,在提升软件安全性和稳定性方面作用明显。然而,该工具的使用需要开发者预先建立自身的模糊测试目标,工作难度较大且耗时较长。在项目中添加生成式人工智能技术后,实现了通过自然语言输入自动生成模糊测试目标,在没有任何人工干预的情况下,将代码覆盖率从38%提高到了69%。
3.MIT:基于AI的供应链攻击风险检测和防御
MIT人工智能团队利用自研大型图形模型(LGM)构建起用于供应链优化的人工智能应用平台AI Apps,以人工智能驱动情报分析,有效提升了检测和抵御攻击风险的能力。该平台主要具有以下三个特点:第一、利用智能化模型整合组织内部信息,提供统一的威胁情报视图,并通过模拟攻击场景强化学习,持续增强威胁检测的精确度和响应效率;第二、基于对以往攻击行为的学习建立身份管理系统,对访问者强制进行入侵和违规风险分析;第三、引入由专家主导的迭代系统充当校准机制,通过实时的专家意见输入,不断进行自我修正和完善。
4.Altana AI:基于AI的供应商信任度审查
Altana AI通过对联邦学习技术的应用,将机器学习引入隐私数据计算分析中,构建起独特的全球供应链系统供应商分析智能模型,打破传统供应链管理范式中的次级供应链网络不透明现象,支持全层级供应来源隐患查询,已在实践中得到广泛应用。以美国航天行业为例,Altana AI对该行业的信任度审查中,定位了几家信任度存疑的关键供应商,包括与台湾企业关系密切的卫星通信公司Viasat和在墨西哥建厂的跨国制造商GNK。此外,审查还发现了几家受到美国制裁的或与俄罗斯军工联合体有关的原材料供应商,如隶属于俄罗斯国家航天集团公司的NPK精密仪器公司。
对电信运营商的启示建议
1.将人工智能纳入软件供应链安全管理的顶层设计
将人工智能理念纳入软件供应链管理的顶层指导意见,制定具有普遍共识的治理框架和指南。首先,建立企业层面软件供应链安全管理的基本原则和规范标准,以制度化形式将人工智能的思路和方法纳入其中,为全面提升软件供应链安全提供全方位的行动指引。新形势下的软件供应链安全要求必须实现全链路全环节的动态监控,薄弱环节成为安全防护的重中之重。其次,强化软件供应链安全管理的组织保障,相关工作的推进涉及人工智能、网络安全以及采购管理等多个主要部门,必须建立健全组织体系,理清各部门间的责任关系,畅通沟通渠道,统筹推进机制,压实责任链条,以智能化战略引领软件供应链安全治理体系和治理能力的全面升级。
2.将人工智能引入现有开源软件治理和供应链攻击防护工具
将人工智能技术引入现有软件代码分析、漏洞检测及修复、风险分析和预测等工具中,借助智能化工具重塑现有解决方案,提升软件供应链安全保护的效率和效果。首先,加快相关智能化工具的自研或引进,建立自动化的响应和处理机制,通过生产工具的优化升级最大限度提升治理能力。例如,在软件开发阶段,通过智能化的代码分析迅速识别潜在威胁,防止恶意代码注入,降低遭受供应链攻击的风险。在软件运营阶段,基于神经网络模型等的应用提升安全事件响应速度,迅速阻断威胁传播;基于对以往异常行为的学习预测威胁者的下一步行动并制定针对性抵御策略。其次,利用人工智能工具的数据搜集和整合能力优势,理清软件所采用的所有组件、许可协议、依赖关系及层次关系,构建标准化的软件构成图谱,实现软件供应链透明度的有效提升,为软件供应链安全提供底层保障。
3.将人工智能融入供应商管理的全生命周期
将人工智能思路融入供应商资格审查、风险识别、防范及处置的各个环节,持续提升软件供应链安全保障能力。首先,在供应商引入阶段,强化新增供应商的资格审查中智能化技术的应用,确保供应链生态系统中的新增合作方经过彻底的安全评估,确保供应方信息的真实、准确、完整,防止篡改和泄露。其次,构建契合企业个性化需求的供应商信任度分析智能模型,实现供应商风险的实时监控,识别和防范由于供应关系或供应活动变化导致的安全风险,提升软件供应链的可追溯性。最后,做好关键领域供应链中断的应急备案,在替代方案的选择中充分发挥智能化技术的分析预测、辅助决策、实时优化功能,增强软件供应链的韧性和抗风险能力。
本文作者
巩娜鑫
二级分析师
中级经济师,获得网络与信息安全行业CISP认证,主要研究方向为网信安全行业情报分析。
