3、供应商风险评估:供应商安全能力评估框架、尽职调查流程、安全审计要点
好,咱们接着聊供应商风险管理。前面讲了供应链有多复杂,威胁有多可怕。那问题来了——怎么判断一个供应商靠不靠谱?
说实话,我早年吃过这方面的亏。有一次选了一家看起来挺正规的Tier 2供应商,结果交付的MCU固件里被人插了后门。从那以后,我养成了一个习惯:选供应商,先做安全体检。今天就把这套体检方法拆开来讲。
3.1 供应商安全能力评估框架
评估框架,说白了就是一张「安全能力打分表」。我个人习惯把它分成五个维度:
| 评估维度 | 关键指标 | 权重建议 |
|---|---|---|
| 组织与治理 | 安全团队规模、CISO设置、安全预算占比 | 20% |
| 开发安全 | SDL流程、代码审计频率、漏洞修复周期 | 30% |
| 供应链安全 | 上游供应商管控、物料溯源能力 | 20% |
| 生产与物流 | 产线隔离、固件烧录管控、运输加密 | 15% |
| 应急响应 | PSIRT机制、事件响应SLA、召回流程 | 15% |
每个维度下面,我会再拆成3-5个具体问题。比如「开发安全」这块,我会问:
- 你们有没有做威胁建模?用什么工具?
- 代码提交前做不做静态扫描?扫描规则是谁定的?
- 第三方库的漏洞怎么跟踪?有没有SBOM?
嗯,这里要注意:别光看对方给的PPT。我见过一家供应商,PPT上写着「全面实施SDL」,结果一问,他们所谓的SDL就是让开发自己测一测。所以,框架只是起点,真正的功夫在后面的尽职调查。
3.2 尽职调查流程
尽职调查,听起来很正式。说白了就是「上门看看,翻翻底牌」。我一般分三步走:
第一步:文件审查
先让供应商填一份安全问卷。问卷内容就是上面那个框架里的问题。同时要求提供:
- 安全策略文档(至少要有信息安全策略、软件开发安全策略)
- 最近一次的安全审计报告(最好是第三方做的)
- 漏洞管理记录(过去12个月的)
- 员工安全培训记录
我曾经遇到一家供应商,问卷填得漂漂亮亮,结果要审计报告时支支吾吾。后来一查,他们根本没做过审计。这种「纸面合规」的情况,在行业里其实不少见。
第二步:现场访谈
文件审查过了,我会亲自带队去供应商现场。访谈对象包括:
- 安全负责人(问策略、问流程)
- 开发团队负责人(问实践、问工具)
- 产线负责人(问物理安全、问烧录管控)
访谈时我有个习惯:同一个问题,问不同的人。比如问「固件烧录时怎么防篡改」,安全负责人说「我们有加密」,产线负责人说「我们就是插上烧录器直接烧」——你看,这就是漏洞。
第三步:技术验证
这一步不是所有供应商都需要,但如果是核心ECU或域控制器的供应商,我强烈建议做。技术验证包括:
- 代码抽样审计(重点看安全敏感函数)
- 固件逆向分析(检查是否有后门或调试接口)
- 渗透测试(针对他们提供的ADAS模块)
3.3 安全审计要点
审计不是走过场。我总结了几个核心审计要点,你拿去就能用:
要点一:代码仓库与版本管理
检查供应商的代码仓库权限设置。是不是所有人都能改代码?有没有分支保护?commit有没有强制签名?
我见过最离谱的,是供应商把ADAS的感知算法代码放在一个共享文件夹里,谁都能改,连个版本号都没有。这种环境,你想想看,出问题的概率有多大?
要点二:第三方组件管理
现在哪个ADAS系统不用开源库?但用了就得管。审计时要看:
- 有没有完整的SBOM(软件物料清单)?
- 第三方库的版本是不是最新的?有没有已知漏洞?
- 有没有定期做漏洞扫描?扫描结果怎么处理的?
要点三:固件烧录与密钥管理
这是ADAS供应链安全的重灾区。审计要点:
- 固件烧录环境是不是物理隔离的?
- 烧录工具有没有防篡改机制?
- 密钥是怎么生成的?存在哪里?谁有权限访问?
我记得有一次审计,发现供应商把HSM的根密钥明文存在一个Excel文件里,还放在共享网盘上。我当时就火了——这等于把家门钥匙挂在门外。
要点四:物流与交付安全
ADAS模块从产线到整车厂,中间经过多少手?审计时要看:
- 运输过程中有没有防拆封条?
- 有没有物流追踪系统?
- 到货后有没有验证机制(比如校验固件哈希)?
好了,关于供应商风险评估,我就讲这么多。总结一句话:选供应商就像选队友,能力是一方面,安全意识和执行力才是关键。下一章咱们聊聊合同里的安全条款怎么写,那又是另一门学问了。