Ohjelmiston toimitusketjun riskienhallinta puolustuksessa: SCRM-viitekehykset, SBOM:t ja toimittaja-arviointi

Kirjoittanut Corvus Intelligence Engineering Team · Tietoa tiimistä →

25. kesäkuuta 2026 12 min lukuaika

SolarWinds-tietomurto vuonna 2020 oli käänteentekevä tapahtuma ohjelmiston toimitusketjun tietoturvalle. Hyökkääjät — jotka myöhemmin yhdistettiin valtiolliseen toimijaan — lisäsivät haitallista koodia SolarWinds Orionin rakennusprosessiin. Orion on verkonhallintaympäristö, jota käyttivät tuhannet organisaatiot, mukaan lukien useat Yhdysvaltain liittovaltion virastot ja puolustusalan urakoitsijat. Saastunut ohjelmistopäivitys toimitettiin virallisten kanavien kautta, allekirjoitettuna SolarWindsin omalla koodin allekirjoitussertifikaatilla, ja se oli erottamaton normaalista päivityksestä mille tahansa automaattiselle tietoturvaohjaimelle. Kahdeksantoista tuhatta organisaatiota asensi takaoven. Tunkeutuminen pysyi havaitsemattomana kuukausia.

Puolustusorganisaatioille tämä hyökkäystyyppi — vastustajan toimitusketjuimplantti — edustaa perustavanlaatuisesti erilaista uhkamallia kuin perimeterishyökkäys tai tietojenkalastelu. Vastustajan ei tarvitse murtautua kohdeorganisaatioon suoraan. Sen sijaan he vaarantavat luotetun kolmannen osapuolen toimittajan, lisäävät haitallisen toiminnallisuuden ohjelmistotuotteeseen ja odottavat, että kohde asentaa päivityksen omien normaalien toimintaprosessiensa kautta. Kohteen puolustukset ovat merkityksettömiä alkuperäisen kompromissin kannalta, koska hyökkäys saapuu luotettuna ohjelmistona luotetusta lähteestä.

Kybertoimitusketjun riskienhallinta (C-SCRM) on tieteenala, joka käsittelee tätä uhkaluokkaa. Tässä artikkelissa käsitellään NIST SP 800-161 Rev. 1 -viitekehystä, jota puolustushankintaorganisaatioiden odotetaan toteuttavan, SBOM-pohjaista komponenttinäkyvyyttä teknisenä perustana, toimittajien tietoturva-arviointikäytäntöjä, avoimen lähdekoodin komponenttiriskiä, DFARS-sopimuksellisia vaatimuksia ja jatkuvan valvonnan arkkitehtuuria, joka havaitsee vaarantuneet riippuvuudet käyttöönoton jälkeen.

Miksi ohjelmiston toimitusketjun riski on ainutlaatuinen puolustuksessa

Puolustusorganisaatiot hankkivat ohjelmistoja kahdesta laajasta kategoriasta: kaupalliset valmistuotteet (COTS) kaupallisilta toimittajilta sekä räätälöity ohjelmisto, jonka puolustusalan urakoitsijat kehittävät ohjelmakohtaisten sopimusten nojalla. Molemmissa kategorioissa on toimitusketjuriski, mutta riskiprofiilit eroavat merkittävästi.

COTS:n ja avoimen lähdekoodin riski on laajemman pinta-alan ongelma. Moderni puolustusjärjestelmä voi sisältää kymmeniä COTS-ohjelmistokomponentteja — verkonhallintavälineitä, tietokantoja, käyttöjärjestelmäkomponentteja, kontainerointiympäristöjä ja viestintäkirjastoja. Jokainen näistä tuotteista on itse rakennettu tuhansista avoimen lähdekoodin komponenteista, joilla on omat ylläpitäjäyhteisönsä, riippuvuusketjunsa ja kompromissin mahdollisuutensa. XZ Utils -takaovi (CVE-2024-3094), joka löydettiin maaliskuussa 2024, havainnollisti tätä riskiä: haitallinen osallistuja vietti noin kaksi vuotta luottamuksen rakentamiseen XZ Utils -projektissa ennen kuin lisäsi takaoven rakennusprosessiin. XZ Utils tarjoaa häviötöntä tiedonpakkausta ja on läsnä käytännöllisesti katsoen kaikissa Linux-jakeluissa — mukaan lukien käyttöjärjestelmäpinot monissa puolustuksen käyttöönotoissa.

Valtiollisten toimijoiden toimitusketjuimplantit eroavat opportunistisista hyökkäyksistä kärsivällisyydeltään, operatiiviselta turvallisuudeltaan ja kohdennustarkkuudeltaan. SolarWindsin hyökkääjät eivät vaarantaneet jokaista asiakasta, joka asensi takaoven — he aktivoivat implantin valikoivasti vain korkea-arvoisia kohteita vastaan. Tämä valikoiva aktivointi on suunniteltu nimenomaan vähentämään havaitsemisriskiä: jos takaovi aiheuttaa laajoja toiminnallisia ongelmia, se havaitaan ja kohdistetaan. Valtiollisilla toimijoilla on resursseja ja motivaatiota käyttää kuukausia ohjelmiston toimitusketjun vaarantamiseen päästäkseen käsiksi tiettyyn kohderyhmään — ja puolustusorganisaatiot ovat johdonmukaisesti korkea-arvoisimpien kohteiden joukossa.

Luokiteltujen järjestelmien kehittäminen tuo lisäriskejä kehitysputken tasolla. Luokiteltujen ohjelmien rakennusinfrastruktuuri, lähdekoodivarastot, koodin allekirjoitusinfrastruktuuri ja artefaktien jakelukanavat ovat itsessään kohteita. Rakennusputken kompromissi — jopa täysin talon sisällä kehitetylle ohjelmistolle — voi lisätä haitallisia muutoksia kehittäjän sitoumuksen ja käyttöönotetun artefaktin välille. Tämän vuoksi SBOM-valvonta puolustusputkistoissa sisältää yhä useammin rakennusprovenanssin todistuksia (SLSA Build Levels), jotka kryptografisesti sitovat binääriartefaktin tiettyyn lähdesitoutumukseen ja rakennusympäristöön, joka sen tuotti.

Näiden tekijöiden yhdistelmä tarkoittaa, että puolustuksen C-SCRM:n on käsiteltävä kolmea erillistä hyökkäyspintaa: toimittajan tuotetta ja heidän ylävirran riippuvuuksiaan, talon sisällä ja urakoitsijan kehittämän ohjelmiston kehitysputkea sekä päivitys- ja jakelukanavia, joiden kautta ohjelmisto saavuttaa käyttöönötetyt järjestelmät.

NIST SP 800-161 Rev. 1 C-SCRM-viitekehys

NIST Special Publication 800-161 Revision 1 (toukokuu 2022), "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations", on ensisijainen viitekehys C-SCRM:lle Yhdysvaltain liittovaltion ja puolustuksen konteksteissa. Se tarjoaa neliportaisen mallin, joka integroi toimitusketjun riskienhallinnan organisaation laajempaan riskienhallintahierarkiaan.

Taso 1 — Organisaatiotaso: Ylin johto vahvistaa C-SCRM-politiikan, osoittaa hallinnointivastuun (C-SCRM PMO tai nimetty riskijohtaja), määrittelee riskinsietokynnykset ja kohdentaa resurssit. Tällä tasolla organisaatio vastaa strategisiin kysymyksiin: mitkä ohjelmisto- ja toimittajakategoriat kuuluvat C-SCRM:n soveltamisalaan? Mikä on organisaation riskinsieto tunnetuille haavoittuville komponenteille käyttöönötetuissa järjestelmissä? Mikä on eskalointipolku, kun kriittinen toimitusketjun kompromissi havaitaan? Ilman tason 1 politiikkaa alemman tason C-SCRM-toiminnoilta puuttuu valtuutus ja hallinto.

Taso 2 — Missio/liiketoimintaprosessitaso: Ohjelmajohtajat ja hankintavirkailijat integroivat C-SCRM-vaatimukset hankintavälineisiin, sopimusmalleihin ja ohjelmasuunnitteluun. Tällä tasolla C-SCRM-vaatimukset muunnetaan erityisiksi hankintavaatimuksiksi: SBOM-toimitusvelvotteet, CMMC-tason vaatimukset, provenanssin todistamisstandardit ja tapaturmailmoitusaikataulut. Tässä C-SCRM-politiikasta tulee sopimuksellisesti täytäntöönpanokelpoisella tavalla toimiva.

Taso 3 — Tietojärjestelmätaso: Järjestelmänomistajat ja tietojärjestelmien tietoturvavastaavat (ISSOs) soveltavat C-SCRM-ohjaimia järjestelmän suunnittelun, kehityksen, integraation sekä käytön ja ylläpidon aikana. Tällä tasolla C-SCRM-toiminnot sisältävät komponentti-inventaarion (SBOM-analyysi), toimittajan riskipistytyksen, haavoittuvuusseurannan käyttöönotetuille komponenteille ja toimittajavalvonnan. Järjestelmän tietoturvasuunnitelmaan (SSP) tulisi sisällyttää C-SCRM-osio, joka dokumentoi toteutetut ohjaimet ja niiden nykyisen tilan.

Taso 4 — Toimittajataso: Urakoitsijat ja alatason toimittajat toteuttavat heille sopimusten kautta siirretyt C-SCRM-vaatimukset. Tähän sisältyy heidän oma SBOM-tuotantonsa toimitetulle ohjelmistolle, tapaturmailmoitusvelvoitteet, CMMC-vaatimustenmukaisuusvaatimukset ja alatoimittajien hallinta. Taso 4 on se paikka, jossa teoria kohtaa käytännön — C-SCRM-toteutuksen laatu toimittajatasolla määrää suoraan hankkivan organisaation riskialtistuksen.

NIST 800-161 Rev. 1 kartoittaa C-SCRM-käytännöt viiden NIST Cybersecurity Framework (CSF) -toiminnon mukaan — Tunnista, Suojaa, Havaitse, Vastaa, Palauta — tarjoten sillan C-SCRM:n ja laajempien kyberturvallisuusohjelmien välille, joita useimmat puolustusorganisaatiot jo ylläpitävät. Keskeisiä käytäntöjä puolustushankkijoille Tunnista-toiminnossa ovat toimittajainventaarion ylläpito, hankittujen ohjelmistojen ja palvelujen kriittisyysanalyysi sekä toimitusketjun riskiarviointi. Suojaa-toiminnossa: SBOM-vaatimukset, provenanssin todistamisvaatimukset ja hyväksyttyjen toimittajien luettelon hallinta. Havaitse-toiminnossa: toimittajien tietoturva-aseman jatkuva seuranta, haavoittuvuussyötteiden tilaaminen ja SBOM-pohjainen komponenttiseuranta.

SBOM toimitusketjun näkyvyystyökaluna

Ohjelmiston materiaaliluettelo (SBOM) on koneluettava inventaario kaikista ohjelmistoartefaktin komponenteista — suorat riippuvuudet, transitiiviset riippuvuudet, rakennustyökalut ja konttityönkuormien peruskerrosten kuvat. C-SCRM-kontekstissa SBOM vastaa perustavanlaatuiseen toimitusketjun näkyvyyskysymykseen: mitä tarkalleen on tämän ohjelmistotuotteen sisällä, ja onko jokin näistä komponenteista tunnetusti haavoittuvainen tai vaarantunut?

SBOM:ien tuottaminen Syftillä ja Trivyllä: Kaksi avoimen lähdekoodin työkalua hallitsee SBOM-tuotantoa puolustusputkistoissa. Syft (Anchorelta) tuottaa CycloneDX- ja SPDX-SBOM:ia konttikuvista, tiedostojärjestelmistä ja lähdekoodivarastoista. Trivy (Aqua Securityltä) yhdistää SBOM-tuotannon ja haavoittuvuusskannauksen yhteen työkaluajon. Molemmat työkalut tukevat ilmarakoitettua toimintaa paikallisesti peilatuilla haavoittuvuustietokannoilla — kriittinen vaatimus luokitelluille kehitysympäristöille.

# Tuota CycloneDX SBOM konttikuvasta Syftillä

syft myapp:latest -o cyclonedx-json > sbom-myapp-v1.2.3.cdx.json

# Tuota SPDX SBOM lähdehakemistosta

syft dir:/path/to/source -o spdx-json > sbom-source-v1.2.3.spdx.json

# Trivy: yhdistetty SBOM-tuotanto ja haavoittuvuusskannaus

trivy image --format cyclonedx --output sbom.cdx.json myapp:latest

trivy sbom --severity HIGH,CRITICAL sbom.cdx.json

SBOM-formaatin valinta on merkityksellinen puolustuskonteksteissa. CycloneDX (tällä hetkellä versiossa 1.6) tarjoaa laajan työkalutuen ja sisältää kentät komponentin provenanssia, korjaustilaa ja haavoittuvuuden tunnustamista varten — ominaisuudet, jotka ovat tärkeitä puolustusohjelman dokumentaatiolle. SPDX (Software Package Data Exchange) on NIST:n suosima formaatti, johon viitataan EO 14028 -ohjauksessa, ja sillä on vahvempi käyttöönotto avoimen lähdekoodin lisensointinoudattamisyhteisössä. Monet puolustusohjelmat ylläpitävät molempia formaatteja samasta putken vaiheesta, koska eri jatkokuluttajat (haavoittuvuusskannerit vs. juridis-/IP-arviointityökalut) saattavat suosia eri formaatteja.

SBOM-analyysi tunnetuille haavoittuville komponenteille: Kun SBOM on tuotettu, se analysoidaan haavoittuvuustietokantoja vastaan. OSV (Open Source Vulnerabilities) -tietokanta koostaa CVE-haavoittuvuudet kaikista tärkeimmistä kieliekosysteemeistä (PyPI, npm, Maven, Go, Rust, Ruby jne.) ja on saatavilla paikallisesti peilaavana JSON-tietokantana — tärkeää ilmarakoitetuissa ympäristöissä. NVD (National Vulnerability Database) tarjoaa auktoritatiivisen CVE-aineiston CVSS-pisteineen. Grype (Anchorelta) ja osv-scanner (Googlelta) ovat ensisijaisia SBOM-haavoittuvuustietokantaskannereja, joita käytetään puolustusputkistoissa.

# Skannaa CycloneDX SBOM grype-työkalulla (tulostus sarif-muodossa SIEM-integrointia varten)

grype sbom:sbom-myapp-v1.2.3.cdx.json -o sarif > vuln-report.sarif

# Skannaa osv-scannerillä paikallisesti peilattuun OSV-tietokantaan

osv-scanner --config=osv-config.toml --sbom=sbom-myapp-v1.2.3.cdx.json

# Vertaile löydöksiä CISA KEV:iä vastaan (vaatii jq:n)

curl -s https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json \

  | jq '.vulnerabilities[].cveID' > kev-ids.txt

grep -f kev-ids.txt vuln-report.sarif

Puolustusohjelmissa SBOM-integraatio DevSecOps-puolustusputkiston työkaluketjuun tarkoittaa, että SBOM-tuotanto ja haavoittuvuusskannaus suoritetaan automaattisesti jokaisessa rakennuksessa. Löydökset julkaistaan keskitettyyn tietoturvakojelautaan, ja putkilinjan portit hylkäävät rakennukset, joissa on KEV-listattuja tai CVSS 9.0+ komponentteja, ellei hyväksyttyä poikkeuslippua ole. SBOM-artefakti ja sen haavoittuvuusskannauksen tulokset allekirjoitetaan ja tallennetaan rakennusartefaktin rinnalle osana toimituспакettia.

Toimittajien tietoturva-arviointi puolustusohjelmistoissa

SBOM-analyysi kertoo, mitä toimittajan tuotteessa on — mutta se ei kerro, ovatko toimittajan kehitysympäristö, rakennusputkisto ja jakeluinfrastruktuuri itsessään turvattuja. Toimittajien tietoturva-arviointi käsittelee tätä aukkoa: se arvioi toimittajan tietoturva-aseman, ei pelkästään heidän toimittamansa artefaktin turvallisuutta.

NIST SP 800-171:ään linjattu tietoturvakyselylomakkeen suunnittelu: Ensisijainen viitekehys puolustusohjelmistotoimittajien tietoturvan arviointiin on NIST SP 800-171, "Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations." NIST 800-171:n 14 ohjainperheen ympärille järjestetty toimittajan arviointikyselylomake tarjoaa jäsennellyn, tilintarkastettavan arviointilähestymistavan. 14 perhettä ovat: Pääsynhallinta, Tietoisuus ja koulutus, Auditointi ja vastuullisuus, Konfiguraatiohallinta, Tunnistaminen ja autentikointi, Tapaturmavastaus, Ylläpito, Mediaosuuden suojaus, Henkilöstöturvallisuus, Fyysinen suojaus, Riskiarviointi, Tietoturva-arviointi, Järjestelmä- ja viestintäsuojaus sekä Järjestelmä- ja tiedon eheys.

Jokaista ohjainperhettä varten kyselylomakkeen tulee kysyä:

Mitkä ohjaimet ovat käytössä? (asiakirjatodisteet pyydetään)
Mikä on nykyinen SPRS-pistytys ja mitä metodologiaa sen laskemiseen on käytetty?
Onko avoimia toimintasuunnitelman ja välitavoitteiden (POA&M) kohteita? Jos on, mikä on tavoiteltu sulkemispäivä?
Onko toimittaja läpikäynyt kolmannen osapuolen tietoturva-arvioinnin viimeisten 24 kuukauden aikana? Jos kyllä, kenen toimesta ja minkä standardin mukaisesti?
Mikä on toimittajan prosessi alatoimittajien tietoturvan hallintaan?

CMMC-tasovalinnat: Cybersecurity Maturity Model Certification (CMMC) -viitekehyksen puitteissa puolustusohjelmistotoimittajilta, jotka käsittelevät Controlled Unclassified Information (CUI) -tietoja, vaaditaan vähintään CMMC-taso 2, joka edellyttää kaikkia 110 NIST SP 800-171 -vaatimusta ja kolmannen osapuolen arviointia CMMC Third Party Assessment Organization (C3PAO) -organisaation toimesta. Hankkijoiden tulee tarkistaa toimittajan CMMC-sertifiointitila CMMC AB -markkinapaikasta ennen sopimuksen myöntämistä ja vaatia uudelleensertifiointia, jos toimittajan sertifikaatti on lähestymässä vanhentumista. Arkaluonteisia hankintaohjelmia tai kehittyneitä jatkuvia uhkatoimijoita vastaan kohtaaville ohjelmille CMMC-taso 3 (johon lisätään NIST SP 800-172 -vaatimukset) voi olla asianmukainen.

Kolmannen osapuolen arviointivaatimukset ulottuvat CMMC:n tuolle puolen. Toimittajan kehitysympäristön (erityisesti rakennusputkiston ja artefaktien jakeluinfrastruktuurin) penetraatiotestauksen tulisi olla määräajoin toistuva vaatimus toimittajille, jotka toimittavat ohjelmistoa korkea-arvoisille puolustusohjelmille. Kriittisten komponenttien lähdekoodin tarkistus — joko hankkivan organisaation tietoturvatiimin tai riippumattoman kolmannen osapuolen toimesta — tarjoaa varmuuden, joka ylittää automaattisen skannauksen kyvyt.

Avoimen lähdekoodin komponenttien riskienhallinta

Avoimen lähdekoodin ohjelmistokomponentit esittävät erilaisen riskiprofiilin kuin kaupalliset toimittajat. Arvioitavaa toimittajaa ei ole, sopimusta turvallisuusvaatimusten täytäntöönpanoon ei ole, ja usein ei ole muodollista hallinnointirakennetta, jota voisi pitää vastuullisena. Silti moderni puolustusohjelmisto on rakennettu laajasti avoimen lähdekoodin perustoille — käyttöjärjestelmät, kontainerointiympäristöt, kryptografiset kirjastot, viestintäprotokollat ja sovellusviitekehykset ovat pääosin avointa lähdekoodia.

OSS-lisenssien noudattaminen — GPL-kontaminaatioriski: GNU General Public License (GPL) on copyleft-lisenssi, joka edellyttää, että johdannaisteokset jaetaan saman lisenssin alla, mukaan lukien lähdekoodin saataville asettaminen. Puolustusohjelmistoille, joilla on omistusoikeudellisia algoritmeja tai luokiteltuja komponentteja, vahingossa sisällytetty GPL-lisensoitu koodi voi laukaista velvoitteet julkaista lähdekoodia, jota ei pitäisi julkistaa. LGPL (Lesser GPL) laukaistaan vain, kun kirjasto on staattisesti linkitetty; AGPL (Affero GPL) laukaistaan jopa verkon kautta käytetyssä ohjelmistossa ilman jakelua. Lisenssien noudattamisskanneri — FOSSA (kaupallinen), Black Duck (kaupallinen) tai avoimen lähdekoodin REUSE-työkalu — tulisi analysoida jokainen SBOM:n komponentti ennen jokaista toimitusta, selkeän politiikan kera jokaiselle lisenssiityypille: sallittu, sallittu ehdoin (LGPL vain dynaamisen linkittämisen kanssa) tai kielletty (GPL suoritettavassa kontekstissa).

Ylläpitäjäriskien arviointi on OSS-riskin inhimillinen ulottuvuus. XZ Utils -takaovi toteutettiin haitallisen osallistujan toimesta, joka vietti noin kaksi vuotta maineen ja committihistorian rakentamiseen projektissa ennen takaoven lisäämistä. Ylläpitäjäriskin arviointi sisältää:

Aktiivisten ylläpitäjien lukumäärän ja bussikertoimen (mitä tapahtuu, jos ainoa pääylläpitäjä tulee saavuttamattomaksi tai vaarantuu?)
Avainpanoksen tekijöiden maantieteellisen jakautumisen ja organisaatioliittymän — onko merkittäviä osallistujia organisaatioissa maissa, jotka muodostavat toimitusketjun uhkahuolen?
Projektin julkaisu- ja allekirjoituskäytännöt — onko julkaisut allekirjoitettu? Pitääkö allekirjoitusavain yksi henkilö vai onko se jaettu?
Projektin vastaus aiempiin tietoturvaongelmiin — kuinka nopeasti CVE:t käsiteltiin? Oliko yhteisö reagoiva?
OpenSSF Scorecard -pistytys — automaattinen yhteisön terveysmittari, joka kattaa haaransuojauksen, CI/CD-tietoturvakäytännöt, riippuvuuksien kiinnittämisen ja muut indikaattorit

Haarautumisstrategia kriittisille OSS-komponenteille: Komponenteille, jotka ovat sekä kriittisiä järjestelmän toiminnan kannalta että osoittavat kohonnutta ylläpitäjäriskiä, haarautumisstrategia tarjoaa hallinnan ylläpitotaakan kustannuksella. Organisaatio ylläpitää sisäistä haaraa komponentista omassa artefaktirekisterissään. Ylävirran projektin päivitykset tarkistetaan organisaation tietoturvatiimin toimesta ennen niiden sisällyttämistä. Jos ylävirran projekti julkaisee haitallisen päivityksen, organisaation haara on suojattu — haitallinen versio ei koskaan saavuta artefaktirekisteriä. Haarautumisstrategia sopii pienelle joukolle todella kriittisiä komponentteja (kryptografiset kirjastot, autentikointimoduulit, ydinprotokollien toteutukset) — sen soveltaminen yleisesti loisi hallitsemattoman ylläpitovelkaa.

Sopimukselliset SCRM-vaatimukset ja DFARS-lausekkeet

C-SCRM-vaatimuksista tulee laillisesti täytäntöönpanokelpoisia sopimuslausekkeiden kautta. Puolustushankinnoissa käytetään yhdistelmää pakollisia DFARS-lausekkeita ja ohjelmakohtaisia SCRM-vaatimuksia, jotka on neuvoteltu sopimusehtoihin.

DFARS 252.204-7012 (Safeguarding Covered Defense Information and Cyber Incident Reporting) on perustavanlaatuinen lauseke puolustusalan urakoitsijoiden kyberturvallisuudelle. Sen velvoitteet sisältävät: riittävä tietoturva (toteuta NIST SP 800-171 kaikissa järjestelmissä, jotka käsittelevät, tallentavat tai siirtävät Covered Defense Information -tietoja), nopea kyberturvallisuuspoikkeamien raportointi DoD:lle 72 tunnin kuluessa löytämisestä, vaarantuneiden järjestelmien kuvien säilyttäminen 90 päivää mahdollista DoD:n oikeustieteellistä analyysia varten sekä haittaohjelmien toimittaminen, kun haitallinen ohjelmisto löydetään ilmoitetun tapahtuman yhteydessä. C-SCRM-tarkoituksiin 72 tunnin raportointivaatimus on operatiivisesti vaativin: urakoitsijoilla on oltava havaitsemis-, tutkimus- ja raportointikyky, joka pystyy toimimaan kokonaisuudessaan tässä aikaikkunassa, mukaan lukien toimitusketjutapahtumat (vaarantunut toimittajatuote, jota käytetään urakoitsijan kehitysympäristössä).

Ohjelmiston provenanssin todistamislausekkeet — yhä useammin lisättynä puolustusohjelmistosopimuksiin EO 14028:n jälkeen — edellyttävät urakoitsijoita toimittamaan allekirjoitettuja todistuksia siitä, että heidän ohjelmistonsa on tuotettu määriteltyjen turvallisten kehityskäytäntöjen mukaisesti. OMB M-22-18 ja M-23-16 -muistiot määrittelevät vähimmäisvaatimukset liittovaltion ohjelmistohankinnalle turvallisen ohjelmistokehityksen todistamismenettelyille. Nämä todistukset viittaavat NIST Secure Software Development Framework (SSDF) -viitekehykseen ja edellyttävät tiettyjä käytäntöjä: rakennusympäristön suojaamista, SBOM:ien tuottamista, haavoittuvuuksien skannaamista ennen toimitusta ja tietoturvakatselmusten todisteiden ylläpitämistä. Urakoitsijoiden tulisi käyttää SLSA Build Level 2 tai Level 3 provenanssin todistuksia tarjotakseen kryptografista näyttöä, joka sitoo toimitetun binäärin tiettyyn lähdesitoutumukseen ja rakennusympäristöön.

Vaatimusten siirtäminen alihankkijoille: Pääurakoitsijan C-SCRM-velvoitteet eivät pääty heidän organisaatiorajansa kohdalle. Alihankkijan, joka käsittelee Covered Defense Information -tietoja tai joka toimittaa ohjelmistokomponentteja, jotka sisällytetään toimitettavaan järjestelmään, on saatava vastaavat vaatimukset sopimusten kautta. Tähän sisältyy DFARS 252.204-7012 (pakollinen soveltuvin osin), SBOM-toimitusvelvotteet, CMMC-tason vaatimukset tasolla tai vastaavalla kuin pääurakoitsijalla, ja ilmoitusvelvoitteet pääurakoitsijalle määritellyn ajan kuluessa (tyypillisesti 24–48 tuntia), kun alihankkija kärsii tietomurrosta. Pääurakoitsijat ovat sopimuksellisesti vastuussa alihankkijamyöntymyksen tarkistamisesta — "alihankkijani vaarantui eikä minulla ollut tietoa siitä" ei ole hyväksyttävä selitys valtion asiakkaalle.

Alkuperämaata koskevat rajoitukset lisäävät toisen kerroksen: NDAA Section 889 kieltää tiettyjen tietoliikenne- ja videovalvontalaitteiden käytön nimettyjen valmistajien osalta Yhdysvaltain hallitusohjelmissa, ja myöhemmät NDAA-säännökset ovat laajentaneet rajoituksia ohjelmistokomponentteihin. Sopimusmallien tulisi sisältää selkeät alkuperämaata koskevat kiellot nykyisen NDAA-rajoituslistan mukaisesti, ja SBOM-analyysin tulisi merkitä komponentit, joiden tunnettu alkuperä tai ylläpitäjäliittymä voi herättää huolta.

Jatkuva SCRM-valvonta

Staattinen SCRM-arviointi — toimittaja-arvioinnin ja SBOM-skannauksen suorittaminen sopimuksen myöntämishetkellä ja tulosten arkistointi — tarjoaa pistekohtaisen riskikuvan, joka on vanhentunut jo arviointia seuraavana päivänä. Jatkuva SCRM-valvonta ylläpitää jatkuvaa riskikuvaa tilaamalla haavoittuvuustietojen syötteitä ja korreloimalla uuden tiedon automaattisesti käyttöönötetyn komponentti-inventaarion kanssa.

Haavoittuvuusvaroitusten syötteet: Kaksi ensisijaista syötettä jatkuvaa seurantaa varten ovat CISA KEV ja NVD. CISA:n Known Exploited Vulnerabilities (KEV) -katalogi päivittyy jatkuvasti ja sisältää CVE-haavoittuvuudet, joiden on vahvistettu olleen aktiivisesti hyödynnettyjä — nämä ovat korkeimman prioriteetin korjauskohteet riippumatta CVSS-pisteytyksestä, koska ne eivät ole teoreettisia riskejä vaan vahvistettuja hyökkäystekniikoita. NVD tarjoaa kattavan CVE-aineiston CVSS v3.1 ja v4.0 pisteineen. Molemmat ovat saatavilla koneluettavina JSON-syötteinä, jotka soveltuvat automaattiseen integrointiin.

Konttityönkuormille konttikuvien tietoturvakäytännöt puolustuksessa sisältävät rekisteritason uudelleenskannauksen: kun uusi haavoittuvuus julkaistaan, joka vaikuttaa käyttöjärjestelmäpakettiversioon tallennetuissa kuvissa, rekisteri (esimerkiksi Harbor) skannaa automaattisesti uudelleen vaikuttuneet kuvat ja merkitsee ne haavoittuvuuspolitiikan vastaisiksi. Tämä laukaisee ilmoituksen vastuulliselle tiimille ilman manuaalisia toimenpiteitä.

Automaattinen komponenttien uudelleenskannaus uusien CVE:iden julkaisun yhteydessä: Jatkuvan SCRM-valvonnan automaatioarkkitehtuuri integroi kolme tietolähdettä: (1) SBOM-inventaario (kaikki komponentit kaikissa käyttöönötetuissa järjestelmissä), (2) saapuva CVE/KEV-tietoussyöte ja (3) korjaustiketin järjestelmä. Kun uusi CVE julkaistaan, automaattinen prosessi kyselee SBOM-inventaariota löytääkseen käyttöönötetun komponentin, joka vastaa vaikuttunutta paketti- ja versioaluetta. Jos vastaavuus löytyy, korjausticket luodaan automaattisesti prioriteetilla, joka on johdettu tietoussyötteestä (KEV-vastaavuus = P0 välitön, CVSS 9.0+ = P1 seuraavana arkipäivänä, CVSS 7.0–8.9 = P2 sprinttitiketti). Tämä poistaa manuaalisen triaasivaiheen, joka tyypillisesti viivästyttää haavoittuvuuksien korjausta organisaatioissa, jotka luottavat jaksoittaisiin skannaussykleihin.

# Jatkuvan valvonnan pseudokoodi — kysele SBOM-inventaariota uutta KEV-merkintää vastaan

NEW_KEV_ID="CVE-2024-XXXXX"

SBOM_STORE="/opt/sbom-archive"  # paikallinen hakemisto kaikille tuote-SBOM:eille

# Skannaa kaikki arkistoidut SBOM:t vaikuttuneelle CVE:lle

for sbom in "$SBOM_STORE"/*.cdx.json; do

  PRODUCT=$(basename "$sbom" .cdx.json)

  MATCH=$(grype sbom:"$sbom" --only-fixed=false -q | grep "$NEW_KEV_ID")

  if [ -n "$MATCH" ]; then

    echo "KEV-VASTAAVUUS: $PRODUCT sisältää $NEW_KEV_ID — eskaloitava välittömästi"

    # trigger-remediation-ticket --product "$PRODUCT" --cve "$NEW_KEV_ID" --priority P0

  fi

done

Tapaturmavastaus vaarantuneille riippuvuuksille: Kun riippuvuuden havaitaan olevan vaarantunut — ei pelkästään haavoittuvainen vaan aktiivisesti takaovitettu, kuten XZ Utils -tapauksessa — vastausprosessi eroaa CVE-korjauksesta. Keskeiset vaiheet ovat:

Laajuuden välitön määrittely: Kysele SBOM-inventaariota luetteloimaan kaikki käyttöönotot, jotka sisältävät vaikuttuneen komponenttiversion. Tämän pitäisi viedä minuutteja, ei päiviä — hidas laajuuden määrittely on C-SCRM-ohjelman epäonnistuminen.
Hyödynnettävyyden arviointi: Selvitä, suoritettiinko haitallinen koodi todella käyttöönottokontekstissa. XZ Utils esimerkiksi hyödynnettiin vain, kun tietty versio systemd:stä latasi sen — järjestelmät ilman kyseistä konfiguraatiota eivät olleet vaikuttuneita, vaikka niissä olisi ollut haitallinen paketti asennettuna.
Ilmoita 72 tunnin kuluessa: DFARS 252.204-7012 edellyttää raportointia DoD:lle 72 tunnin kuluessa. Asiakasviestintä tulee tapahtua samanaikaisesti — ei sisäisen tutkinnan päätyttyä.
Korjaa ja vahvista: Päivitä puhtaaseen versioon tai aktivoi haarautumisstrategia. Suorita eheyden tarkistus järjestelmäartefakteille, jotka on voitu tuottaa käyttämällä vaarantunutta komponenttia.
Tapauksen jälkeinen katselmus: Tunnista, minkä C-SCRM-ohjaimen olisi pitänyt havaita kompromissi aiemmin — riittämätön SBOM-kattavuus, puuttuva ylläpitäjäriskiarviointi, haarautumisstrategian puuttuminen kriittiselle komponentille — ja päivitä ohjelma vastaavasti.

Ohjelman kypsyyden indikaattori: Kypsä C-SCRM-ohjelma pystyy vastaamaan kolmeen kysymykseen alle tunnissa, milloin tahansa: (1) mitä versiota nimetystä komponentista on käyttöönötettu kussakin tuotantojärjestelmässä? (2) kun kyseiselle komponentille julkaistaan uusi CVE, mitkä järjestelmät ovat vaikuttuneita? (3) kuka on vastuullinen omistaja kullekin vaikuttuneelle järjestelmälle? Ohjelmat, jotka eivät pysty vastaamaan näihin kysymyksiin nopeasti, toimivat toimitusketjuriskin kanssa, jota ne eivät pysty kvantifioimaan tai hallitsemaan — asema, joka on yhä kestämättömämpi nykyisten DoD:n ja liittolaispartnereiden odotusten valossa.

Jatkuvan SCRM-valvonnan organisatorinen ulottuvuus on yhtä tärkeä kuin tekninen. Jonkun on omistettava valvontaprosessi, oltava päivystysvuorossa P0-hälytyksille ja hänellä on oltava valtuudet ottaa järjestelmä offline-tilaan tai käynnistää hätäkorjaussykli, kun KEV-vastaavuus tai vaarantunut riippuvuus löydetään. C-SCRM-vastuu, joka on jaettu useille tiimeille ilman yhtä vastuullista omistajaa, tuottaa johdonmukaisesti viivästyneitä vastauksia — täsmälleen se epäonnistumistila, johon vastustajat luottavat.

Keskustele projektistasi

Toteutamme C-SCRM-ohjelmia puolustusohjelmistoalan urakoitsijoille — SBOM-putken integraatiosta toimittaja-arviointiviitekehyksiin ja jatkuvan valvonnan arkkitehtuuriin, joka on linjattu NIST SP 800-161:n ja DFARS-vaatimusten kanssa.

Kyberturvallisuuspalvelut → Kehityspalvelut

Tämän analyysin ovat valmistelleet Corvus Intelligencen insinöörit, jotka rakentavat tehtäväkriittistä ohjelmistoa puolustus- ja hallintoorganisaatioille. Tutustu tiimiimme →

Usein kysytyt kysymykset

Mikä on C-SCRM ja miksi se on tärkeää puolustukselle?

Kybertoimitusketjun riskienhallinta (C-SCRM) on tieteenala, joka tunnistaa, arvioi ja vähentää riskejä, jotka on tuotu järjestelmään sen ohjelmistotoimitusketjun kautta — toimittajien, avoimen lähdekoodin komponenttien, rakennustyökalujen ja jakelukanavien verkosto, joka osallistuu valmiiseen tuotteeseen. Puolustusorganisaatioille C-SCRM on kriittistä, koska vastustajat ovat osoittaneet halukkuutta ja kykyä vaarantaa kaupalliset ohjelmistotuotteet ennen kuin ne saavuttavat asiakkaan. SolarWinds Orion -tietomurto (2020) ja XZ Utils -takaovi (2024) ovat kanonisia esimerkkejä. NIST SP 800-161 Rev. 1 (2022) on auktoritatiivinen viitekehys, jota puolustushankkijoiden odotetaan toteuttavan.

Mitkä ovat NIST SP 800-161 C-SCRM-mallin neljä tasoa?

NIST SP 800-161 Rev. 1 jäsentää C-SCRM:n neljälle tasolle, jotka heijastavat organisaation hallinnointihierarkiaa. Taso 1 on organisaatiotaso — ylin johto asettaa C-SCRM-politiikan, rahoituksen ja riskinhallinnan perusteet. Taso 2 on missio-/liiketoimintaprosessitaso — ohjelmajohtajat integroivat C-SCRM-vaatimukset hankintasuunnitteluun ja sopimusvälineisiin. Taso 3 on tietojärjestelmätaso — järjestelmänomistajat soveltavat C-SCRM-ohjaimia suunnittelun, kehityksen ja käytön aikana. Taso 4 on toimittajataso — urakoitsijat ja alatason toimittajat toteuttavat heille sopimusten kautta siirretyt vaatimukset. Tasolla 4 tunnistetut riskit (alihankkijan haavoittuvainen komponentti) on välitettävä takaisin tasoille 3 ja 2 organisatorista päätöksentekoa varten.

Mikä on SBOM ja miten sitä käytetään toimitusketjun riskienhallinnassa?

Ohjelmiston materiaaliluettelo (SBOM) on koneluettava inventaario kaikista komponenteista — suorista ja transitiivisista riippuvuuksista — ohjelmistoartefaktissa. C-SCRM-kontekstissa SBOM on toimitusketjun näkyvyyden perusta: se kertoo, mitä kolmannen osapuolen koodia on tuotteessa, jonka olet ottanut käyttöön tai arvioit. Syft (Anchore) ja Trivy (Aqua) kaltaiset työkalut tuottavat SBOM:ia CycloneDX- tai SPDX-muodossa konttikuvista tai lähdekoodivarastoista. SBOM analysoidaan sitten haavoittuvuustietokantoja (OSV, NVD) ja CISA:n Known Exploited Vulnerabilities -katalogita vastaan välitöntä korjausta vaativien komponenttien tunnistamiseksi. Ilman SBOM:ia toimitusketjun riskiarviointi on arvausta.

Mitä NIST SP 800-171 itsearviointiin sisältyy puolustustoimittajille?

NIST SP 800-171 määrittelee 110 tietoturvavaatimusta 14 ohjainperheessä CUI-tietojen suojaamiseksi ei-liittovaltion järjestelmissä. Ennen CMMC-ohjelmaa, joka edellyttää kolmannen osapuolen arviointia korkeammilla tasoilla, toimittajat pystyivät itsearvioimaan vaatimustenmukaisuuden täyttämällä DoD Supplier Performance Risk System (SPRS) -pistytyksen. Itsearviointi edellyttää toimittajalta jokaisen 110 vaatimuksen tarkistamista, sen dokumentointia, miten vaatimus täytetään (tai suunnitelmaa sen täyttämiseksi), ja pistytyksen laskemista NIST SP 800-171A -arviointimetodologian perusteella. Itsearvioinnit vastaanottavien hankkijoiden tulisi validoida käytetty metodologia ja etsiä merkkejä uskottavasta toteutuksesta — POA&M-kohteet realistisilla sulkemispäivillä, todisteet CUI-tunnistusharjoituksista ja johdonmukainen tietoturvapoliittinen dokumentaatio.

Mikä CMMC-taso vaaditaan puolustusohjelmistotoimittajilta?

Cybersecurity Maturity Model Certification (CMMC) -viitekehyksessä on kolme tasoa. Taso 1 (Perustavanlaatuinen) edellyttää 17 perussuojausvaatimusta Federal Contract Information (FCI) -tiedoille — itsearvioidaan. Taso 2 (Edistynyt) edellyttää kaikkia 110 NIST SP 800-171 -vaatimusta CUI-käsittelyyn — kolmannen osapuolen arviointi (C3PAO) vaaditaan CUI:ta käsitteleville ohjelmille. Taso 3 (Asiantuntija) lisää osan NIST SP 800-172 -vaatimuksista korkea-arvoisille ohjelmille, jotka kohtaavat kehittyneitä jatkuvia uhkatoimijoita — arvioinnin suorittaa DCSA. Useimmat puolustusohjelmistotoimittajat, jotka käsittelevät CUI:ta kehitysympäristöissään, tarvitsevat vähintään CMMC-tason 2. Hankkijoiden on määriteltävä vaadittu CMMC-taso tarjouspyynnöissä, ja vaatimus siirtyy alihankkijoille, jotka käsittelevät CUI:ta.

Mikä on GPL-kontaminaatioriski ja miksi se on tärkeää puolustusohjelmistoille?

GPL-kontaminaatio — tarkemmin sanottuna copyleft-leviäminen — tapahtuu, kun GPL-lisensoitu avoimen lähdekoodin koodi sisällytetään omistusoikeudelliseen ohjelmistotuotteeseen tavalla, joka laukaisee GPL:n jakeluvaatimukset. GPL edellyttää, että kun jaat ohjelmistoa, joka sisältää GPL-lisensoitua koodia, sinun on myös jaettava yhdistetyn teoksen lähdekoodi GPL:n alla. Puolustusohjelmistotoimittajalle, jolla on omistusoikeudellisia algoritmeja tai luokiteltuja komponentteja, vahingossa laukaistut GPL-velvoitteet voivat edellyttää lähdekoodin julkaisemista, jota ei pitäisi julkistaa, sopimuksellisten IP-suojalausekkeiden rikkomista tai jakelun lopettamista. LGPL:llä ja AGPL:llä on erilaiset laukaisuolosuhteet. Lisenssien noudattamisskannaustyökalujen, kuten FOSSA:n, Black Duckin tai avoimen lähdekoodin REUSE-työkalun, tulisi skannata jokainen SBOM:n riippuvuus ennen ohjelmiston toimittamista.

Mitkä ovat DFARS 252.204-7012 velvoitteet puolustusohjelmistoalan urakoitsijoille?

DFARS 252.204-7012 (Safeguarding Covered Defense Information) on pakollinen lauseke useimmissa DoD-sopimuksissa, jotka koskevat Covered Defense Information (CDI) -tietoja tai operatiivisesti kriittistä tukea. Sen ensisijaiset velvoitteet ovat: riittävä tietoturva (toteuta NIST SP 800-171 kaikissa järjestelmissä, jotka käsittelevät CDI:tä), kyberpoikkeamien nopea raportointi DoD:lle 72 tunnin kuluessa löytämisestä, vaarantuneiden järjestelmien kuvien säilyttäminen 90 päivää sekä haittaohjelmien toimittaminen, kun haitallinen ohjelmisto löydetään ilmoitetun tapahtuman yhteydessä. 72 tunnin raportointiaikikkuna on operatiivisesti vaativa — urakoitsijoilla on oltava tapaturmavastuusuunnitelma, joka mahdollistaa havaitsemisen, tutkimuksen ja raportoinnin tässä aikaikkunassa. Lauseke edellyttää myös ilmoitusta DoD:lle, jos alihankkija kokee raportoitavan kyberturvallisuuspoikkeaman.

Miten CISA KEV syöttyy jatkuvaan SCRM-valvontaan?

CISA:n Known Exploited Vulnerabilities (KEV) -katalogi on kuratoitu luettelo CVE-haavoittuvuuksista, jotka on aktiivisesti hyödynnetty, ja liittovaltion virastoilla on pakolliset korjausaikataulut (tyypillisesti 2 viikkoa kriittisille/korkeille BOD 22-01:n nojalla). Puolustusalan urakoitsijoille KEV on korkein prioriteetin haavoittuvuussignaali: SBOM:ssasi oleva komponentti, joka esiintyy KEV:ssä, on aktiivisesti hyödynnetty ja vaatii välitöntä toimintaa riippumatta CVSS-pisteytyksestä. Automaattiset SCRM-valvontaputkistot tulisi tilata KEV JSON -syötteeseen (päivitetään päivittäin) ja ristiviitata jokainen SBOM-komponentti sitä vastaan. Kun uusi KEV-merkintä vastaa käyttöönötetun tuotteen komponenttia, päivystävä tietoturvainsinööri saa välittömän hälytyksen ja korjausticket luodaan automaattisesti.

Mikä on haarautumisstrategia kriittisille OSS-komponenteille?

Haarautumisstrategia kriittisille avoimen lähdekoodin komponenteille tarkoittaa organisaation hallitseman kopion ylläpitämistä kriittisestä OSS-riippuvuudesta sen sijaan, että se kulutettaisiin suoraan ylävirran julkisesta rekisteristä. Haara isännöidään organisaation sisäisessä artefaktirekisterissä (Nexus, Artifactory tai ilmarakoitettu vastaava). Kun ylävirran projekti julkaisee päivityksen, organisaatio tarkistaa muutokset ennen niiden sisällyttämistä sisäiseen haaraan — prosessi, joka havaitsee haitalliset päivitykset ennen kuin ne saavuttavat tuotannon. Tämä on erityisen tärkeää komponenteille, joiden ylläpitäjät ovat osoittaneet vähentynyttä aktiivisuutta, epäselvää hallintoa tai mahdollista altistumista valtiolliselle vaikutukselle. Kompromissi on ylläpitotaakka: tiimin on tarkistettava ja sisällytettävä ylävirran tietoturvakorjaukset ajoissa, tai haara jää jälkeen ja kerää omaa haavoittuvuusvelkaansa.

Mitkä ovat tärkeimmät sopimusmääräiset SCRM-vaatimusten siirrot alihankkijoille?

Kun pääurakoitsija saa DoD-sopimuksen C-SCRM-vaatimuksineen, nämä vaatimukset on siirrettävä alihankkijoille, jotka käsittelevät suojattua tietoa tai toimittavat ohjelmistokomponentteja. Tärkeimmät siirretyt vaatimukset sisältävät: DFARS 252.204-7012 (kyberpoikkeamien raportointi, riittävä tietoturva — pakollinen, kun alihankkija käsittelee CDI:tä), CMMC-tasovaaatimus vastaavalla tasolla kuin pääurakoitsijalla, SBOM-toimitusvelvoite jokaiselle toimitetulle ohjelmistokomponentille, ohjelmiston provenanssin todistaminen (SLSA Build Level 2 tai vastaava), tiettyjen alkuperämaan ohjelmistojen ja laitteistojen kielto (NDAA Section 889:n ja siihen liittyvien rajoitusten mukaisesti) sekä ilmoitusvelvoite pääurakoitsijalle määritellyn ajan kuluessa, jos alihankkija kärsii tietomurrosta. Pääurakoitsijat ovat vastuussa alihankkijamyöntymyksen tarkistamisesta — alihankkijan CMMC-sertifikaatit tulisi validoida CMMC AB -markkinapaikasta.