Zarządzanie ryzykiem łańcucha dostaw oprogramowania w obronie: frameworki SCRM, SBOM i ocena dostawców

Autor: Corvus Intelligence Engineering Team · O zespole →

25 czerwca 2026 12 min czytania

Naruszenie bezpieczeństwa SolarWinds w 2020 roku było przełomowym wydarzeniem dla bezpieczeństwa łańcucha dostaw oprogramowania. Atakujący — później przypisani państwowemu podmiotowi — wstrzyknęli złośliwy kod do procesu budowania SolarWinds Orion, platformy do zarządzania siecią używanej przez tysiące organizacji, w tym wiele agencji federalnych USA i wykonawców obronnych. Skompromitowana aktualizacja oprogramowania była dostarczana oficjalnymi kanałami, podpisana prawidłowym certyfikatem podpisywania kodu SolarWinds i nie do odróżnienia od normalnej aktualizacji przez żadną zautomatyzowaną kontrolę bezpieczeństwa. Osiemnaście tysięcy organizacji zainstalowało backdoora. Włamanie pozostało niewykryte przez wiele miesięcy.

Dla organizacji obronnych ta klasa ataku — adversarialny implant w łańcuchu dostaw — reprezentuje zasadniczo odmienny model zagrożeń od ataku perymetrycznego czy phishingu. Przeciwnik nie musi bezpośrednio naruszać bezpieczeństwa organizacji docelowej. Zamiast tego kompromituje zaufanego dostawcę trzeciego, wstrzykuje złośliwą funkcjonalność do produktu oprogramowania i czeka, aż cel zainstaluje aktualizację w ramach własnych normalnych procesów operacyjnych. Obrony celu są nieistotne dla początkowego kompromisu, ponieważ atak dociera jako zaufane oprogramowanie z zaufanego źródła.

Zarządzanie ryzykiem łańcucha dostaw cybernetycznego (C-SCRM) to dyscyplina, która odpowiada na tę klasę zagrożeń. Niniejszy artykuł omawia framework NIST SP 800-161 Rev. 1, którego wdrożenia oczekuje się od organizacji zamawiających w sektorze obronnym, widoczność komponentów opartą na SBOM jako fundament techniczny, praktyki oceny bezpieczeństwa dostawców, ryzyko komponentów open source, wymagania kontraktowe DFARS oraz architekturę ciągłego monitorowania wykrywającą skompromitowane zależności po wdrożeniu.

Dlaczego ryzyko łańcucha dostaw oprogramowania jest wyjątkowe dla obronności

Organizacje obronne korzystają z oprogramowania z dwóch szerokich kategorii: komercyjnych produktów gotowych (COTS) od komercyjnych dostawców oraz oprogramowania na zamówienie opracowywanego przez wykonawców obronnych w ramach kontraktów programowych. Obie kategorie niosą ryzyko łańcucha dostaw, jednak profile ryzyka różnią się znacząco.

Ryzyko COTS i open source stanowi problem o większej powierzchni ataku. Nowoczesny system obronny może zawierać dziesiątki komponentów oprogramowania COTS — narzędzia do zarządzania siecią, bazy danych, komponenty systemu operacyjnego, platformy konteneryzacji i biblioteki komunikacyjne. Każdy z tych produktów jest z kolei zbudowany z tysięcy komponentów open source ze swoimi społecznościami opiekunów, łańcuchami zależności i potencjałem do skompromitowania. Backdoor XZ Utils (CVE-2024-3094), odkryty w marcu 2024 roku, zilustrował to ryzyko: złośliwy współpracownik spędził około dwóch lat budując zaufanie w projekcie XZ Utils, zanim wstrzyknął backdoora do procesu budowania. XZ Utils zapewnia bezstratną kompresję danych i jest obecny w praktycznie każdej dystrybucji Linuksa — w tym w stosach systemów operacyjnych wielu wdrożeń obronnych.

Implanty w łańcuchu dostaw ze strony państwowych aktorów różnią się od oportunistycznych ataków cierpliwością, bezpieczeństwem operacyjnym i precyzją celowania. Atakujący SolarWinds nie skompromitowali każdego klienta, który zainstalował backdoora — selektywnie aktywowali implant tylko wobec celów o wysokiej wartości. Ta selektywna aktywacja jest specjalnie zaprojektowana w celu zmniejszenia ryzyka wykrycia: jeśli backdoor powoduje powszechne problemy operacyjne, zostaje wykryty i przypisany. Państwowi aktorzy dysponują zasobami i motywacją, by spędzić miesiące na kompromitowaniu łańcucha dostaw oprogramowania w celu uzyskania dostępu do określonej kategorii celów — a organizacje obronne są konsekwentnie wśród celów o najwyższej wartości.

Tworzenie systemów niejawnych wprowadza dodatkowe ryzyka na poziomie pipeline'u deweloperskiego. Infrastruktura budowania, repozytoria kodu źródłowego, infrastruktura podpisywania kodu i systemy dystrybucji artefaktów dla programów niejawnych są same w sobie celami. Kompromis pipeline'u budowania — nawet dla oprogramowania opracowywanego całkowicie wewnętrznie — może wprowadzić złośliwe modyfikacje między commitem dewelopera a wdrożonym artefaktem. Dlatego egzekwowanie SBOM w pipeline'ach obronnych coraz częściej obejmuje atestacje proweniencji budowania (SLSA Build Levels), które kryptograficznie wiążą binarny artefakt z konkretnym commitem źródłowym i środowiskiem budowania, które go wytworzyło.

Kombinacja tych czynników oznacza, że obronne C-SCRM musi adresować trzy odrębne powierzchnie ataku: produkt dostawcy i jego zależności upstream, pipeline deweloperski dla oprogramowania tworzonego wewnętrznie i przez wykonawców oraz kanały aktualizacji/dystrybucji, przez które oprogramowanie dociera do wdrożonych systemów.

Framework C-SCRM NIST SP 800-161 Rev. 1

NIST Special Publication 800-161 Revision 1 (maj 2022), „Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations", jest podstawowym frameworkiem dla C-SCRM w kontekście federalnym i obronnym USA. Dostarcza czterowarstwowy model, który integruje zarządzanie ryzykiem łańcucha dostaw z szerszą hierarchią zarządzania ryzykiem w organizacji.

Tier 1 — poziom organizacji: Wyższe kierownictwo ustanawia politykę C-SCRM, przypisuje odpowiedzialność za zarządzanie (PMO C-SCRM lub wyznaczony wykonawca ds. ryzyka), definiuje progi apetytu na ryzyko i alokuje zasoby. Na tym poziomie organizacja odpowiada na pytania strategiczne: jakie kategorie oprogramowania i dostawców są objęte zakresem C-SCRM? Jaka jest tolerancja organizacji na znane podatne komponenty w wdrożonych systemach? Jaka jest ścieżka eskalacji, gdy odkryty zostanie krytyczny kompromis łańcucha dostaw? Bez polityki Tier 1 działania C-SCRM na niższych poziomach są pozbawione autoryzacji i zarządzania.

Tier 2 — poziom misji/procesu biznesowego: Kierownicy programów i urzędnicy ds. zamówień integrują wymagania C-SCRM w narzędziach zamówień, szablonach kontraktów i planowaniu programów. Na tym poziomie wymagania polityki C-SCRM są przekształcane w konkretne wymagania zamówieniowe: obowiązki dostarczania SBOM, wymagania poziomu CMMC, standardy atestacji proweniencji i harmonogramy raportowania incydentów. Tu polityka C-SCRM staje się prawnie egzekwowalna.

Tier 3 — poziom systemu informatycznego: Właściciele systemów i oficerowie bezpieczeństwa systemów informatycznych (ISSO) stosują kontrole C-SCRM podczas projektowania, tworzenia, integracji oraz eksploatacji i utrzymania systemów (O&M). Na tym poziomie działania C-SCRM obejmują inwentaryzację komponentów (analizę SBOM), scoring ryzyka dostawców, śledzenie podatności wdrożonych komponentów oraz monitorowanie dostawców. Plan bezpieczeństwa systemu (SSP) powinien zawierać sekcję C-SCRM dokumentującą wdrożone kontrole i ich aktualny status.

Tier 4 — poziom dostawcy: Wykonawcy i dostawcy sub-tier wdrażają wymagania C-SCRM przekazane im przez kontrakty. Obejmuje to własną generację SBOM dla dostarczonego oprogramowania, obowiązki raportowania incydentów, wymagania zgodności CMMC i zarządzanie dostawcami sub-tier. Tier 4 to miejsce, gdzie teoria spotyka się z praktyką — jakość wdrożenia C-SCRM na poziomie dostawcy bezpośrednio determinuje ekspozycję na ryzyko organizacji zamawiającej.

NIST 800-161 Rev. 1 mapuje praktyki C-SCRM do pięciu funkcji NIST Cybersecurity Framework (CSF) — Identyfikuj, Chroń, Wykryj, Reaguj, Odzyskuj — zapewniając pomost między C-SCRM a szerszymi programami cyberbezpieczeństwa, które większość organizacji obronnych już prowadzi. Kluczowe praktyki dla zamawiających obronnych w funkcji Identyfikuj obejmują utrzymanie inwentarza dostawców, analizę krytyczności nabytego oprogramowania i usług oraz ocenę ryzyka łańcucha dostaw. W funkcji Chroń: wymagania SBOM, wymagania atestacji proweniencji i zarządzanie listą zatwierdzonych dostawców. W funkcji Wykryj: ciągłe monitorowanie bezpieczeństwa dostawców, subskrypcje kanałów podatności i monitorowanie komponentów oparte na SBOM.

SBOM jako narzędzie widoczności łańcucha dostaw

Software Bill of Materials (SBOM) to odczytywalna maszynowo inwentaryzacja wszystkich komponentów w artefakcie oprogramowania — bezpośrednich zależności, zależności tranzytywnych, narzędzi czasu budowania i warstw bazowych obrazów dla obciążeń kontenerowych. W kontekście C-SCRM SBOM odpowiada na fundamentalne pytanie o widoczność łańcucha dostaw: co dokładnie znajduje się w tym produkcie oprogramowania i czy któryś z tych komponentów jest znany jako podatny lub skompromitowany?

Generowanie SBOM za pomocą Syft i Trivy: Dwa narzędzia open source dominują w generowaniu SBOM dla pipeline'ów obronnych. Syft (od Anchore) generuje SBOM w formatach CycloneDX i SPDX z obrazów kontenerów, systemów plików i repozytoriów źródłowych. Trivy (od Aqua Security) łączy generowanie SBOM ze skanowaniem podatności w jednym przebiegu. Oba narzędzia obsługują pracę w środowiskach air-gapped z lokalnie mirrowanymi bazami danych podatności — krytyczne wymaganie dla niejawnych środowisk deweloperskich.

# Generowanie SBOM CycloneDX z obrazu kontenera za pomocą Syft

syft myapp:latest -o cyclonedx-json > sbom-myapp-v1.2.3.cdx.json

# Generowanie SBOM SPDX z katalogu źródłowego

syft dir:/path/to/source -o spdx-json > sbom-source-v1.2.3.spdx.json

# Trivy: łączone generowanie SBOM i skanowanie podatności

trivy image --format cyclonedx --output sbom.cdx.json myapp:latest

trivy sbom --severity HIGH,CRITICAL sbom.cdx.json

Wybór formatu SBOM ma znaczenie dla kontekstów obronnych. CycloneDX (aktualnie w wersji 1.6) ma szerokie wsparcie narzędziowe i obejmuje pola dla proweniencji komponentu, statusu łatki i potwierdzenia podatności — funkcje ważne dla dokumentacji programów obronnych. SPDX (Software Package Data Exchange) jest formatem preferowanym przez NIST, do którego odwołują się wytyczne EO 14028, i ma silniejsze przyjęcie w społeczności zgodności licencji open source. Wiele programów obronnych utrzymuje oba formaty z tego samego etapu pipeline'u, ponieważ różni konsumenci downstream (skanery podatności vs. narzędzia do przeglądu prawnego/IP) mogą preferować różne formaty.

Analiza SBOM pod kątem znanych podatnych komponentów: Po wygenerowaniu SBOM jest analizowany w porównaniu z bazami danych podatności. Baza OSV (Open Source Vulnerabilities) agreguje CVE we wszystkich głównych ekosystemach językowych (PyPI, npm, Maven, Go, Rust, Ruby itp.) i jest dostępna jako baza danych JSON z możliwością lokalnego mirrowania — ważne dla środowisk air-gapped. NVD (National Vulnerability Database) dostarcza autorytatywny zestaw danych CVE z wynikami CVSS. Grype (od Anchore) i osv-scanner (od Google) są podstawowymi skanerami SBOM-do-bazy-podatności używanymi w pipeline'ach obronnych.

# Skanowanie SBOM CycloneDX za pomocą grype (wyniki w formacie sarif do ingestii SIEM)

grype sbom:sbom-myapp-v1.2.3.cdx.json -o sarif > vuln-report.sarif

# Skanowanie za pomocą osv-scanner z lokalnie mirrowaną bazą OSV

osv-scanner --config=osv-config.toml --sbom=sbom-myapp-v1.2.3.cdx.json

# Porównanie wyników z CISA KEV (wymaga jq)

curl -s https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json \

  | jq '.vulnerabilities[].cveID' > kev-ids.txt

grep -f kev-ids.txt vuln-report.sarif

Dla programów obronnych integracja SBOM z narzędziami DevSecOps dla pipeline'ów obronnych oznacza, że generowanie SBOM i skanowanie podatności uruchamiane jest automatycznie przy każdym budowaniu. Wyniki są publikowane na scentralizowanym pulpicie bezpieczeństwa, a bramy pipeline'u odrzucają budowania z komponentami wymienionymi w KEV lub z CVSS 9.0+, chyba że istnieje zatwierdzony bilet wyjątku. Artefakt SBOM i wyniki skanowania podatności są podpisywane i przechowywane obok artefaktu budowania jako część pakietu dostarczenia.

Ocena bezpieczeństwa dostawców oprogramowania obronnego

Analiza SBOM mówi, co znajduje się w produkcie dostawcy — ale nie mówi, czy środowisko deweloperskie, pipeline budowania i infrastruktura dystrybucji artefaktów dostawcy są same w sobie bezpieczne. Ocena bezpieczeństwa dostawców wypełnia tę lukę: ocenia bezpieczeństwo dostawcy, a nie tylko bezpieczeństwo dostarczanego artefaktu.

Projektowanie kwestionariusza bezpieczeństwa zgodnie z NIST SP 800-171: Podstawowym frameworkiem do oceny bezpieczeństwa dostawców oprogramowania obronnego jest NIST SP 800-171, „Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations". Kwestionariusz oceny dostawcy zorganizowany wokół 14 rodzin kontrolnych NIST 800-171 zapewnia ustrukturyzowane, poddające się audytowi podejście do oceny. 14 rodzin to: Kontrola dostępu, Świadomość i szkolenie, Audyt i odpowiedzialność, Zarządzanie konfiguracją, Identyfikacja i uwierzytelnianie, Reagowanie na incydenty, Utrzymanie, Ochrona mediów, Bezpieczeństwo personelu, Ochrona fizyczna, Ocena ryzyka, Ocena bezpieczeństwa, Ochrona systemów i komunikacji oraz Integralność systemów i informacji.

Dla każdej rodziny kontrolnej kwestionariusz powinien pytać:

Jakie kontrole są wdrożone? (żądane są dowody dokumentacyjne)
Jaki jest aktualny wynik SPRS i jaka metodologia była użyta do jego obliczenia?
Czy istnieją otwarte pozycje Plan of Action and Milestones (POA&M)? Jeśli tak, jaka jest docelowa data zamknięcia?
Czy dostawca przeszedł ocenę bezpieczeństwa przez stronę trzecią w ciągu ostatnich 24 miesięcy? Jeśli tak, przez kogo i według jakiego standardu?
Jaki jest proces dostawcy zarządzania bezpieczeństwem dostawców sub-tier?

Wymagania poziomu CMMC: W ramach Cybersecurity Maturity Model Certification (CMMC) dostawcy oprogramowania obronnego obsługujący Controlled Unclassified Information (CUI) są zobowiązani do osiągnięcia co najmniej CMMC Level 2, który wymaga wszystkich 110 wymagań NIST SP 800-171 i oceny przez stronę trzecią przez CMMC Third Party Assessment Organization (C3PAO). Zamawiający powinni weryfikować status certyfikacji CMMC dostawcy w marketplace CMMC AB przed udzieleniem zamówienia i wymagać ponownej certyfikacji, jeśli certyfikat dostawcy zbliża się do wygaśnięcia. Dla programów obejmujących wrażliwe programy zamówień lub tych stojących w obliczu zaawansowanych trwałych zagrożeń, CMMC Level 3 (który dodaje wymagania NIST SP 800-172) może być odpowiedni.

Wymagania oceny przez stronę trzecią wykraczają poza CMMC. Testy penetracyjne środowiska deweloperskiego dostawcy (szczególnie pipeline'u budowania i infrastruktury dystrybucji artefaktów) powinny być okresowym wymaganiem dla dostawców dostarczających oprogramowanie do programów obronnych o wysokiej wartości. Przegląd kodu źródłowego krytycznych komponentów — przez zespół bezpieczeństwa organizacji zamawiającej lub przez niezależną stronę trzecią — zapewnia pewność wykraczającą poza to, co może wykryć zautomatyzowane skanowanie.

Zarządzanie ryzykiem komponentów open source

Komponenty oprogramowania open source charakteryzują się odrębnym profilem ryzyka w porównaniu z komercyjnymi dostawcami. Nie ma dostawcy do oceny, nie ma kontraktu, przez który można egzekwować wymagania bezpieczeństwa, i często nie ma formalnej struktury zarządzania, którą można pociągnąć do odpowiedzialności. Jednak nowoczesne oprogramowanie obronne jest w dużej mierze zbudowane na fundamentach open source — systemy operacyjne, platformy konteneryzacji, biblioteki kryptograficzne, protokoły komunikacyjne i frameworki aplikacyjne są w przeważającej mierze open source.

Zgodność licencji OSS — ryzyko zanieczyszczenia GPL: GNU General Public License (GPL) to licencja copyleft, która wymaga, aby dzieła pochodne były dystrybuowane na tej samej licencji, w tym udostępnienia kodu źródłowego. Dla oprogramowania obronnego z zastrzeżonymi algorytmami lub niejawnymi komponentami, nieumyślne włączenie kodu licencjonowanego na GPL może wyzwolić obowiązki publikowania kodu źródłowego, który nie powinien być publiczny. LGPL (Lesser GPL) wyzwala tylko w przypadku statycznego linkowania biblioteki; AGPL (Affero GPL) wyzwala nawet dla oprogramowania używanego przez sieć bez dystrybucji. Skaner zgodności licencji — FOSSA (komercyjny), Black Duck (komercyjny) lub narzędzia open source REUSE — powinien analizować każdy komponent w SBOM przed każdym dostarczeniem, z zdefiniowaną polityką dla każdego typu licencji: dozwolona, dozwolona z warunkami (LGPL tylko z dynamicznym linkowaniem) lub zabroniona (GPL w kontekście wykonywalnym).

Ocena ryzyka opiekuna to wymiar czynnika ludzkiego ryzyka OSS. Backdoor XZ Utils został wykonany przez złośliwego współpracownika, który spędził około dwóch lat budując reputację i historię commitów w projekcie przed wstrzyknięciem backdoora. Ocena ryzyka opiekuna obejmuje badanie:

Liczby aktywnych opiekunów i czynnika autobusowego (co się dzieje, jeśli jedyny główny opiekun staje się niedostępny lub jest skompromitowany?)
Rozkładu geograficznego i przynależności organizacyjnej kluczowych współpracowników — czy znaczący współpracownicy są powiązani z organizacjami w krajach stwarzających obawy dotyczące zagrożeń w łańcuchu dostaw?
Praktyk wydawania i podpisywania projektu — czy wydania są podpisane? Czy klucz podpisywania jest w rękach jednej osoby czy rozproszony?
Reakcji projektu na poprzednie kwestie bezpieczeństwa — jak szybko były adresowane CVE? Czy społeczność była responsywna?
Wyniku OpenSSF Scorecard — zautomatyzowanego wskaźnika zdrowia społeczności obejmującego ochronę branchy, praktyki bezpieczeństwa CI/CD, przypinanie zależności i inne wskaźniki

Strategia forka dla krytycznych komponentów OSS: Dla komponentów, które są zarówno krytyczne dla funkcji systemu, jak i charakteryzują się podwyższonym ryzykiem opiekuna, strategia forka zapewnia kontrolę kosztem narzutu utrzymania. Organizacja utrzymuje wewnętrzny fork komponentu we własnym rejestrze artefaktów. Aktualizacje z projektu upstream są przeglądane przez zespół bezpieczeństwa organizacji przed włączeniem. Jeśli projekt upstream opublikuje złośliwą aktualizację, fork organizacji jest odizolowany — złośliwa wersja nigdy nie dociera do rejestru artefaktów. Strategia forka jest odpowiednia dla małego zestawu naprawdę krytycznych komponentów (biblioteki kryptograficzne, moduły uwierzytelniania, implementacje protokołów podstawowych) — stosowanie jej powszechnie tworzyłoby niemożliwy do zarządzania dług utrzymania.

Kontraktowe wymagania SCRM i klauzule DFARS

Wymagania C-SCRM stają się prawnie egzekwowalne przez klauzule kontraktowe. Zamówienia obronne używają kombinacji obowiązkowych klauzul DFARS i wymagań SCRM specyficznych dla programu negocjowanych w warunkach kontraktowych.

DFARS 252.204-7012 (Safeguarding Covered Defense Information and Cyber Incident Reporting) to podstawowa klauzula dla cyberbezpieczeństwa wykonawców obronnych. Jej obowiązki obejmują: adekwatne bezpieczeństwo (wdrożenie NIST SP 800-171 we wszystkich systemach przetwarzających, przechowujących lub przesyłających Covered Defense Information), szybkie raportowanie cyberincydentów do DoD w ciągu 72 godzin od odkrycia, zachowanie obrazów skompromitowanych systemów przez 90 dni dla potencjalnej kryminalistyki DoD oraz przekazanie złośliwego oprogramowania odkrytego w związku z zgłoszonym incydentem. Dla celów C-SCRM wymóg raportowania w ciągu 72 godzin jest najbardziej wymagający operacyjnie: wykonawcy muszą mieć możliwości wykrywania, badania i raportowania, które mogą działać end-to-end w tym oknie, w tym incydenty łańcucha dostaw (skompromitowany produkt dostawcy używany w środowisku deweloperskim wykonawcy).

Klauzule atestacji proweniencji oprogramowania — coraz częściej wstawiane do kontraktów oprogramowania obronnego od czasu EO 14028 — wymagają od wykonawców dostarczania podpisanych atestacji, że ich oprogramowanie zostało wyprodukowane zgodnie ze zdefiniowanymi bezpiecznymi praktykami deweloperskimi. Memoranda OMB M-22-18 i M-23-16 definiują minimalne wymagania atestacji bezpiecznego tworzenia oprogramowania dla federalnych zamówień oprogramowania. Te atestacje odwołują się do NIST Secure Software Development Framework (SSDF) i wymagają konkretnych praktyk: ochrony środowiska budowania, generowania SBOM, skanowania pod kątem podatności przed dostarczeniem i utrzymania dowodów przeglądu bezpieczeństwa. Wykonawcy powinni używać atestacji proweniencji SLSA Build Level 2 lub Level 3, aby dostarczyć kryptograficzne dowody wiążące dostarczony plik binarny z konkretnym commitem źródłowym i środowiskiem budowania.

Wymagania przepływu do podwykonawców: Obowiązki C-SCRM głównego wykonawcy nie kończą się na granicy jego organizacji. Każdy podwykonawca, który obsługuje Covered Defense Information lub dostarcza komponenty oprogramowania włączone do dostarczonego systemu, musi otrzymać równoważne wymagania poprzez przepływ kontraktowy. Obejmuje to DFARS 252.204-7012 (obowiązkowe gdzie ma zastosowanie), obowiązki dostarczania SBOM, wymagania poziomu CMMC na poziomie lub równoważnym do wymaganego poziomu głównego wykonawcy oraz obowiązki powiadomienia do głównego wykonawcy w określonym terminie (zazwyczaj 24-48 godzin), gdy podwykonawca doznaje naruszenia. Główni wykonawcy są odpowiedzialni kontraktowo za weryfikację zgodności podwykonawców — „mój podwykonawca był skompromitowany i nie wiedziałem" nie jest akceptowalnym wyjaśnieniem dla rządowego klienta.

Ograniczenia kraju pochodzenia dodają kolejną warstwę: NDAA Section 889 zakazuje używania określonego sprzętu telekomunikacyjnego i nadzoru wideo od wyznaczonych producentów w programach rządu USA, a kolejne przepisy NDAA rozszerzyły ograniczenia na komponenty oprogramowania. Szablony kontraktów powinny zawierać wyraźne zakazy kraju pochodzenia zgodne z aktualną listą ograniczeń NDAA, a analiza SBOM powinna oznaczać komponenty, których znane pochodzenie lub przynależność opiekuna może budzić obawy.

Ciągłe monitorowanie SCRM

Statyczna ocena SCRM — przeprowadzenie oceny dostawcy i skanowania SBOM przy udzieleniu zamówienia, a następnie archiwizacja wyników — dostarcza obraz ryzyka w określonym momencie, który jest nieaktualny już następnego dnia po ocenie. Ciągłe monitorowanie SCRM utrzymuje bieżący obraz ryzyka poprzez subskrybowanie kanałów wywiadu o podatnościach i automatyczne korelowanie nowych informacji wywiadowczych z inwentarzem wdrożonych komponentów.

Kanały alertów o podatnościach: Dwa podstawowe kanały do ciągłego monitorowania to CISA KEV i NVD. Katalog CISA Known Exploited Vulnerabilities (KEV) jest aktualizowany ciągle i zawiera CVE potwierdzone jako aktywnie wykorzystywane — reprezentują one cele remediacji o najwyższym priorytecie niezależnie od wyniku CVSS, ponieważ nie są teoretycznym ryzykiem, lecz potwierdzonymi technikami ataku. NVD dostarcza kompleksowy zestaw danych CVE z wynikami CVSS v3.1 i v4.0. Oba są dostępne jako odczytywalne maszynowo kanały JSON nadające się do zautomatyzowanej ingestii.

Dla obciążeń kontenerowych praktyki bezpieczeństwa obrazów kontenerów dla obronności obejmują ponowne skanowanie na poziomie rejestru: gdy publikowana jest nowa podatność wpływająca na wersję pakietu OS obecną w przechowywanych obrazach, rejestr (Harbor, na przykład) automatycznie ponownie skanuje dotknięte obrazy i oznacza je jako niespełniające polityki podatności. Powoduje to powiadomienie do odpowiedzialnego zespołu bez konieczności ręcznego działania.

Automatyczne ponowne skanowanie komponentów po nowych CVE: Architektura automatyzacji ciągłego monitorowania SCRM integruje trzy strumienie danych: (1) inwentarz SBOM (wszystkie komponenty we wszystkich wdrożonych systemach), (2) przychodzący wywiad CVE/KEV oraz (3) system zarządzania biletami remediacji. Gdy publikowane jest nowe CVE, zautomatyzowany proces zapytuje inwentarz SBOM o dowolny wdrożony komponent pasujący do dotkniętego pakietu i zakresu wersji. Jeśli znaleziono dopasowanie, automatycznie tworzony jest bilet remediacji z priorytetem wywodzącym się z kanału wywiadu (dopasowanie KEV = P0 natychmiastowe, CVSS 9.0+ = P1 następny dzień roboczy, CVSS 7.0-8.9 = P2 bilet sprintu). Eliminuje to ręczny krok triażu, który zazwyczaj opóźnia remediację podatności w organizacjach polegających na okresowych cyklach skanowania.

# Pseudokod ciągłego monitorowania — zapytanie inwentarza SBOM o nowy wpis KEV

NEW_KEV_ID="CVE-2024-XXXXX"

SBOM_STORE="/opt/sbom-archive"  # lokalny katalog wszystkich SBOM produktów

# Skanowanie wszystkich zarchiwizowanych SBOM pod kątem dotkniętego CVE

for sbom in "$SBOM_STORE"/*.cdx.json; do

  PRODUCT=$(basename "$sbom" .cdx.json)

  MATCH=$(grype sbom:"$sbom" --only-fixed=false -q | grep "$NEW_KEV_ID")

  if [ -n "$MATCH" ]; then

    echo "DOPASOWANIE KEV: $PRODUCT zawiera $NEW_KEV_ID — eskaluj natychmiast"

    # trigger-remediation-ticket --product "$PRODUCT" --cve "$NEW_KEV_ID" --priority P0

  fi

done

Reagowanie na incydenty ze skompromitowanymi zależnościami: Gdy zależność zostaje odkryta jako skompromitowana — nie tylko podatna, ale aktywnie z backdoorem, jak w przypadku XZ Utils — proces reagowania różni się od remediacji CVE. Kluczowe kroki to:

Natychmiastowe określenie zakresu: Zapytaj inwentarz SBOM, aby wyliczyć każde wdrożenie zawierające dotkniętą wersję komponentu. Powinno to zająć minuty, nie dni — powolne określanie zakresu to awaria programu C-SCRM.
Ocena możliwości eksploatacji: Określ, czy złośliwy kod był rzeczywiście wykonywany w kontekście wdrożenia. XZ Utils, na przykład, był eksploatowany tylko gdy ładowany przez konkretną wersję systemd — systemy bez tej konfiguracji nie były dotknięte nawet jeśli miały zainstalowany złośliwy pakiet.
Powiadomienie w ciągu 72 godzin: DFARS 252.204-7012 wymaga raportowania do DoD w ciągu 72 godzin. Powiadomienie klientów powinno nastąpić jednocześnie — nie po zakończeniu wewnętrznego dochodzenia.
Remediacja i weryfikacja: Zaktualizuj do czystej wersji lub aktywuj strategię forka. Przeprowadź weryfikację integralności artefaktów systemowych, które mogły być wyprodukowane przy użyciu skompromitowanego komponentu.
Przegląd po incydencie: Zidentyfikuj, jaka kontrola C-SCRM powinna była wcześniej wykryć kompromis — niewystarczające pokrycie SBOM, brakująca ocena ryzyka opiekuna, brak strategii forka dla krytycznego komponentu — i odpowiednio zaktualizuj program.

Wskaźnik dojrzałości programu: Dojrzały program C-SCRM może odpowiedzieć na trzy pytania w mniej niż godzinę, w dowolnym momencie: (1) jaka wersja nazwanego komponentu jest wdrożona w każdym systemie produkcyjnym? (2) gdy publikowane jest nowe CVE dla tego komponentu, które systemy są dotknięte? (3) kto jest odpowiedzialnym właścicielem każdego dotkniętego systemu? Programy, które nie mogą szybko odpowiedzieć na te pytania, operują z ryzykiem łańcucha dostaw, którego nie mogą skwantyfikować ani zarządzać — pozycja coraz bardziej nieuzasadniona wobec obecnych oczekiwań DoD i partnerów sojuszniczych.

Wymiar organizacyjny ciągłego monitorowania SCRM jest równie ważny jak techniczny. Ktoś musi być właścicielem procesu monitorowania, być dyżurnym dla alertów P0 i mieć uprawnienia do wyłączenia systemu lub zainicjowania awaryjnego cyklu patchy, gdy odkryte zostanie dopasowanie KEV lub skompromitowana zależność. Odpowiedzialność za C-SCRM rozdzielona między wiele zespołów bez jednego odpowiedzialnego właściciela konsekwentnie prowadzi do opóźnionych odpowiedzi — dokładnie tego trybu awarii, na którym polegają przeciwnicy.

Omów swój projekt

Wdrażamy programy C-SCRM dla wykonawców oprogramowania obronnego — od integracji pipeline'u SBOM po frameworki oceny dostawców i architekturę ciągłego monitorowania zgodną z NIST SP 800-161 i wymaganiami DFARS.

Usługi cyberbezpieczeństwa → Usługi deweloperskie

Ta analiza została przygotowana przez inżynierów Corvus Intelligence, którzy budują krytyczne oprogramowanie dla organizacji obronnych i rządowych. Poznaj nasz zespół →

Często zadawane pytania

Czym jest C-SCRM i dlaczego ma znaczenie dla obronności?

Zarządzanie ryzykiem łańcucha dostaw cybernetycznego (C-SCRM) to dyscyplina identyfikowania, oceniania i ograniczania ryzyk wprowadzanych do systemu przez łańcuch dostaw oprogramowania — sieć dostawców, komponentów open source, narzędzi budowania i kanałów dystrybucji, które przyczyniają się do gotowego produktu. Dla organizacji obronnych C-SCRM jest krytyczne, ponieważ przeciwnicy wykazali gotowość i zdolność do kompromitowania komercyjnych produktów oprogramowania zanim dotrą do klienta. Naruszenie SolarWinds Orion (2020) i backdoor XZ Utils (2024) są kanonicznymi przykładami. NIST SP 800-161 Rev. 1 (2022) to autorytatywny framework, którego wdrożenia oczekuje się od organizacji zamawiających w obronności.

Jakie są cztery poziomy modelu C-SCRM NIST SP 800-161?

NIST SP 800-161 Rev. 1 strukturyzuje C-SCRM w czterech poziomach odzwierciedlających hierarchię zarządzania organizacji. Tier 1 to poziom organizacyjny — kierownictwo wyższe ustala politykę C-SCRM, finansowanie i apetyt na ryzyko. Tier 2 to poziom misji/procesu biznesowego — kierownicy programów integrują wymagania C-SCRM w planowaniu zamówień i narzędziach kontraktowych. Tier 3 to poziom systemu informatycznego — właściciele systemów stosują kontrole C-SCRM podczas projektowania, tworzenia i O&M. Tier 4 to poziom dostawcy — wykonawcy i dostawcy sub-tier wdrażają wymagania przepływu przekazane im przez kontrakt. Ryzyka zidentyfikowane na Tier 4 (podatny komponent podwykonawcy) muszą przepływać z powrotem przez Tier 3 i 2 do podejmowania decyzji organizacyjnych.

Czym jest SBOM i jak jest używany do zarządzania ryzykiem łańcucha dostaw?

Software Bill of Materials (SBOM) to odczytywalna maszynowo inwentaryzacja wszystkich komponentów — bezpośrednich i tranzytywnych zależności — w artefakcie oprogramowania. W kontekście C-SCRM SBOM stanowi fundament widoczności łańcucha dostaw: mówi, jaki kod stron trzecich znajduje się w produkcie, który wdrożono lub który jest oceniany. Narzędzia takie jak Syft (Anchore) i Trivy (Aqua) generują SBOM w formacie CycloneDX lub SPDX z obrazów kontenerów lub repozytoriów źródłowych. SBOM jest następnie analizowany w porównaniu z bazami danych podatności (OSV, NVD) i katalogiem CISA Known Exploited Vulnerabilities w celu identyfikacji komponentów wymagających natychmiastowej remediacji. Bez SBOM ocena ryzyka łańcucha dostaw jest zgadywaniem.

Na czym polega samoatestacja NIST SP 800-171 dla dostawców obronnych?

NIST SP 800-171 definiuje 110 wymagań bezpieczeństwa w 14 rodzinach kontrolnych dla ochrony Controlled Unclassified Information (CUI) w systemach pozarządowych. Przed programem CMMC wymagającym oceny przez stronę trzecią dla wyższych poziomów, dostawcy mogli samoatestować zgodność przez wypełnienie wyniku DoD Supplier Performance Risk System (SPRS). Samoatestacja wymaga od dostawcy przejrzenia każdego z 110 wymagań, udokumentowania sposobu spełnienia wymagania (lub planu jego spełnienia) i obliczenia wyniku na podstawie metodologii oceny NIST SP 800-171A. Zamawiający otrzymujący samoatestacje powinni weryfikować używaną metodologię i szukać oznak wiarygodnego wdrożenia — pozycji POA&M z realistycznymi datami zamknięcia, dowodów ćwiczeń identyfikacji CUI i spójnej dokumentacji polityki bezpieczeństwa.

Jaki poziom CMMC jest wymagany dla dostawców oprogramowania obronnego?

Framework Cybersecurity Maturity Model Certification (CMMC) ma trzy poziomy. Level 1 (Foundational) wymaga 17 podstawowych wymagań ochronnych dla Federal Contract Information (FCI) — samooceniany. Level 2 (Advanced) wymaga wszystkich 110 wymagań NIST SP 800-171 dla obsługi CUI — wymagana ocena przez stronę trzecią (C3PAO) dla programów z CUI. Level 3 (Expert) dodaje podzbiór wymagań NIST SP 800-172 dla programów o wysokiej wartości stojących w obliczu zaawansowanych trwałych zagrożeń — oceniany przez DCSA. Większość dostawców oprogramowania obronnego obsługujących CUI w środowiskach deweloperskich będzie potrzebować co najmniej CMMC Level 2. Zamawiający muszą określać wymagany poziom CMMC w zaproszeniach do składania ofert, a wymaganie przepływa do podwykonawców obsługujących CUI.

Czym jest ryzyko zanieczyszczenia GPL i dlaczego ma znaczenie dla oprogramowania obronnego?

Zanieczyszczenie GPL — bardziej precyzyjnie nazywane propagacją copyleft — występuje, gdy kod open source licencjonowany na GPL jest włączany do zastrzeżonego produktu oprogramowania w sposób wyzwalający wymagania dystrybucyjne GPL. GPL wymaga, że gdy dystrybuujesz oprogramowanie zawierające kod licencjonowany na GPL, musisz również dystrybuować kod źródłowy połączonego dzieła na GPL. Dla dostawcy oprogramowania obronnego z zastrzeżonymi algorytmami lub niejawnymi komponentami, nieumyślne wyzwolenie obowiązków GPL może wymagać opublikowania kodu źródłowego, który nie powinien być publiczny, naruszenia klauzul ochrony IP kontraktu lub zaprzestania dystrybucji. LGPL i AGPL mają różne warunki wyzwalania. Narzędzia do skanowania zgodności licencji, takie jak FOSSA, Black Duck lub narzędzia open source REUSE, powinny skanować każdą zależność w SBOM przed każdym dostarczeniem oprogramowania.

Jakie są obowiązki DFARS 252.204-7012 dla wykonawców oprogramowania obronnego?

DFARS 252.204-7012 (Safeguarding Covered Defense Information) to obowiązkowa klauzula w większości kontraktów DoD dotyczących Covered Defense Information (CDI) lub operacyjnie krytycznego wsparcia. Jej podstawowe obowiązki to: adekwatne bezpieczeństwo (wdrożenie NIST SP 800-171 we wszystkich systemach przetwarzających CDI), szybkie raportowanie cyberincydentów do DoD w ciągu 72 godzin od odkrycia, zachowanie obrazów skompromitowanych systemów przez 90 dni oraz przekazanie złośliwego oprogramowania odkrytego w związku z zgłoszonym incydentem. Okno raportowania 72-godzinnego jest wymagające operacyjnie — wykonawcy muszą mieć plan reagowania na incydenty umożliwiający wykrywanie, badanie i raportowanie w tym oknie. Klauzula wymaga również powiadomienia DoD, jeśli podwykonawca doznaje zgłaszalnego cyberincydentu.

Jak CISA KEV wpływa na ciągłe monitorowanie SCRM?

Katalog CISA Known Exploited Vulnerabilities (KEV) to wyselekcjonowana lista CVE, które były aktywnie wykorzystywane, z obowiązkowymi terminami remediacji dla agencji federalnych (zazwyczaj 2 tygodnie dla krytycznych/wysokich w ramach BOD 22-01). Dla wykonawców obronnych KEV jest sygnałem podatności o najwyższym priorytecie: komponent w SBOM, który pojawia się w KEV, jest aktywnie eksploatowany i wymaga natychmiastowego działania, niezależnie od wyniku CVSS. Zautomatyzowane pipeline'y monitorowania SCRM powinny subskrybować kanał JSON KEV (aktualizowany codziennie) i porównywać każdy komponent SBOM z nim. Gdy nowy wpis KEV pasuje do komponentu w wdrożonym produkcie, inżynier bezpieczeństwa dyżurny otrzymuje natychmiastowy alert i automatycznie tworzony jest bilet remediacji.

Czym jest strategia forka dla krytycznych komponentów OSS?

Strategia forka dla krytycznych komponentów open source oznacza utrzymywanie kopii krytycznej zależności OSS kontrolowanej przez organizację zamiast korzystania z niej bezpośrednio z publicznego rejestru upstream. Fork jest hostowany w wewnętrznym rejestrze artefaktów organizacji (Nexus, Artifactory lub ich ekwiwalent air-gapped). Gdy projekt upstream publikuje aktualizację, organizacja przegląda zmiany przed włączeniem ich do wewnętrznego forka — proces ten wychwytuje złośliwe aktualizacje zanim dotrą do produkcji. Jest to szczególnie ważne dla komponentów, których opiekunowie wykazali zmniejszoną aktywność, niejednoznaczne zarządzanie lub potencjalną ekspozycję na wpływy ze strony państw. Kompromisem jest narzut utrzymania: zespół musi przeglądać i włączać poprawki bezpieczeństwa upstream w odpowiednim czasie, lub fork pozostaje w tyle i gromadzi własny dług podatności.

Jakie są kluczowe kontraktowe wymagania przepływu SCRM dla podwykonawców?

Gdy główny wykonawca otrzymuje kontrakt DoD z wymaganiami C-SCRM, te wymagania muszą przepływać do podwykonawców obsługujących objęte informacje lub dostarczających komponenty oprogramowania. Kluczowe wymagania przepływu obejmują: DFARS 252.204-7012 (raportowanie cyberincydentów, adekwatne bezpieczeństwo — obowiązkowe gdy podwykonawca obsługuje CDI), wymaganie poziomu CMMC równoważne wymaganemu poziomowi głównego wykonawcy, obowiązek dostarczania SBOM dla każdego dostarczonego komponentu oprogramowania, atestację proweniencji oprogramowania (SLSA Build Level 2 lub równoważne), zakaz określonego oprogramowania i sprzętu o określonym kraju pochodzenia (zgodnie z NDAA Section 889 i powiązanymi ograniczeniami) oraz obowiązek powiadomienia głównego wykonawcy w określonym terminie, jeśli podwykonawca doznaje naruszenia. Główni wykonawcy są odpowiedzialni za weryfikację zgodności podwykonawców — certyfikaty CMMC podwykonawców powinny być walidowane w marketplace CMMC AB.