Software supply chain security: концепції, моделі та виклики сучасності

Abstract

Систематизовано актуальні концепції, моделі загроз та стандарти у сфері безпеки ланцюга постачання програмного забезпечення (Software Supply Chain Security, SSCS) з позицій інженерії програмного забезпечення. В умовах стрімкого зростання складності програмнихсистем, широкого використання відкритих компонентів і автоматизованих CI/CD-конвеєрівпроблема забезпечення цілісності, автентичності та відстежуваності програмних артефактів набуває критичного значення. У роботі розглянуто структуру ланцюга постачання програмного забезпечення, що охоплює всі етапи життєвого циклу — від розробки вихідного коду до розгортання та супроводу, а також визначено його ключові компоненти, зокрема залежності, інфраструктуру збірки, системи керування версіями та репозиторії артефактів. Проведено аналіз типології вразливостей, характерних для різних етапів життєвого циклу ПЗ, включаючи компрометацію залежностей, атаки на CI/CD-процеси, підміну артефактів і компрометацію механізмів цифрового підпису. Показано, що сучасні атаки дедалі частіше спрямовані не на сам код, а на інфраструктуру його створення та доставки. Окрему увагу приділено провідним міжнародним ініціативам і стандартам, таким як SLSA, SBOM, Sigstore та SSDF, які формують основу для підвищення прозорості, верифікованості та довіри до програмних продуктів. Визначено ключові проблеми впровадження підходів SSCS, зокрема недостатній рівень автоматизації, складність інтеграції у наявні процеси розробки, обмежену якість метаданих та відсутність уніфікованих моделей оцінювання довіри. Окреслено перспективні напрями розвитку, серед яких автоматизована перевірка відповідності стандартам, інтеграція даних про склад ПЗ із базами вразливостей, а також побудова формальних моделей довіри до артефактів на основі криптографічно підтвердженого походження.