3、供应商风险评估:供应商安全能力评估框架、尽职调查流程、安全审计要点

好,咱们接着聊供应商风险管理。前面讲了供应链有多复杂,威胁有多可怕。那问题来了——怎么判断一个供应商靠不靠谱?

说实话,我早年吃过这方面的亏。有一次选了一家看起来挺正规的Tier 2供应商,结果交付的MCU固件里被人插了后门。从那以后,我养成了一个习惯:选供应商,先做安全体检。今天就把这套体检方法拆开来讲。

3.1 供应商安全能力评估框架

评估框架,说白了就是一张「安全能力打分表」。我个人习惯把它分成五个维度:

评估维度 关键指标 权重建议
组织与治理 安全团队规模、CISO设置、安全预算占比 20%
开发安全 SDL流程、代码审计频率、漏洞修复周期 30%
供应链安全 上游供应商管控、物料溯源能力 20%
生产与物流 产线隔离、固件烧录管控、运输加密 15%
应急响应 PSIRT机制、事件响应SLA、召回流程 15%

每个维度下面,我会再拆成3-5个具体问题。比如「开发安全」这块,我会问:

  • 你们有没有做威胁建模?用什么工具?
  • 代码提交前做不做静态扫描?扫描规则是谁定的?
  • 第三方库的漏洞怎么跟踪?有没有SBOM?

嗯,这里要注意:别光看对方给的PPT。我见过一家供应商,PPT上写着「全面实施SDL」,结果一问,他们所谓的SDL就是让开发自己测一测。所以,框架只是起点,真正的功夫在后面的尽职调查。

我的小技巧: 评估框架最好做成可量化的。每个问题设0-5分,总分100。低于60分的供应商,我建议直接亮红灯。低于80分的,需要制定整改计划才能进入下一轮。

3.2 尽职调查流程

尽职调查,听起来很正式。说白了就是「上门看看,翻翻底牌」。我一般分三步走:

第一步:文件审查

先让供应商填一份安全问卷。问卷内容就是上面那个框架里的问题。同时要求提供:

  • 安全策略文档(至少要有信息安全策略、软件开发安全策略)
  • 最近一次的安全审计报告(最好是第三方做的)
  • 漏洞管理记录(过去12个月的)
  • 员工安全培训记录

我曾经遇到一家供应商,问卷填得漂漂亮亮,结果要审计报告时支支吾吾。后来一查,他们根本没做过审计。这种「纸面合规」的情况,在行业里其实不少见。

第二步:现场访谈

文件审查过了,我会亲自带队去供应商现场。访谈对象包括:

  • 安全负责人(问策略、问流程)
  • 开发团队负责人(问实践、问工具)
  • 产线负责人(问物理安全、问烧录管控)

访谈时我有个习惯:同一个问题,问不同的人。比如问「固件烧录时怎么防篡改」,安全负责人说「我们有加密」,产线负责人说「我们就是插上烧录器直接烧」——你看,这就是漏洞。

第三步:技术验证

这一步不是所有供应商都需要,但如果是核心ECU或域控制器的供应商,我强烈建议做。技术验证包括:

  • 代码抽样审计(重点看安全敏感函数)
  • 固件逆向分析(检查是否有后门或调试接口)
  • 渗透测试(针对他们提供的ADAS模块)
避坑指南: 我曾经因为时间紧,跳过了技术验证,直接让一家供应商供货。结果量产前发现他们的摄像头驱动里有一个硬编码的root账号。从那以后,技术验证成了我的「铁律」,谁来说情都不好使。

3.3 安全审计要点

审计不是走过场。我总结了几个核心审计要点,你拿去就能用:

要点一:代码仓库与版本管理

检查供应商的代码仓库权限设置。是不是所有人都能改代码?有没有分支保护?commit有没有强制签名?

我见过最离谱的,是供应商把ADAS的感知算法代码放在一个共享文件夹里,谁都能改,连个版本号都没有。这种环境,你想想看,出问题的概率有多大?

要点二:第三方组件管理

现在哪个ADAS系统不用开源库?但用了就得管。审计时要看:

  • 有没有完整的SBOM(软件物料清单)?
  • 第三方库的版本是不是最新的?有没有已知漏洞?
  • 有没有定期做漏洞扫描?扫描结果怎么处理的?

要点三:固件烧录与密钥管理

这是ADAS供应链安全的重灾区。审计要点:

  • 固件烧录环境是不是物理隔离的?
  • 烧录工具有没有防篡改机制?
  • 密钥是怎么生成的?存在哪里?谁有权限访问?

我记得有一次审计,发现供应商把HSM的根密钥明文存在一个Excel文件里,还放在共享网盘上。我当时就火了——这等于把家门钥匙挂在门外。

要点四:物流与交付安全

ADAS模块从产线到整车厂,中间经过多少手?审计时要看:

  • 运输过程中有没有防拆封条?
  • 有没有物流追踪系统?
  • 到货后有没有验证机制(比如校验固件哈希)?
核心观点: 安全审计不是一次性工作。我建议对核心供应商实行「年度审计+季度抽查」的机制。审计结果要跟供应商的绩效挂钩,该扣钱扣钱,该换人换人。供应链安全,不能讲人情。

好了,关于供应商风险评估,我就讲这么多。总结一句话:选供应商就像选队友,能力是一方面,安全意识和执行力才是关键。下一章咱们聊聊合同里的安全条款怎么写,那又是另一门学问了。