企业软件成分威胁分类框架

解决 “软件可能面临哪些威胁” 的问题，为评估安全水位、构建治理体系提供全面的 “威胁视角”。

威胁事件

• 软件安全威胁典型事件

威胁分类

漏洞利用（T1）

• 利用自身漏洞(T1-1)
  • 利用设计缺陷(T1-1-1)
  • 利用代码缺陷(T1-1-2)
  • 利用配置缺陷(T1-1-3)
• 利用依赖成分漏洞(T1-2)
  • 利用依赖成分设计缺陷(T1-2-1)
  • 利用依赖成分代码缺陷(T1-2-2)
  • 利用依赖成分配置缺陷(T1-2-3)

知识产权威胁(T2)

• 开源许可威胁(T2-1)
  • 违反许可证使用条款(T2-1-1)
  • 开源许可证冲突(T2-1-2)
• 知识产权非法使用(T2-2)
  • 使用盗版软件(T2-2-1)
  • 违反协议进行二次分发(T2-2-2)

仿冒伪劣(T3)

• 仿冒恶意软件(T3-1)
  • 发布名称容易混淆的恶意软件(T3-1-1)
• 劣质软件(T3-2)
  • 未按承诺提供合格软件(T3-2-1)

恶意篡改(T4)

• 开发阶段篡改(T4-1)
  • 第三方提交恶意代码合并请求(T4-1-1)
  • 官方开发者提交恶意代码(T4-1-2)
• 构建阶段篡改(T4-2)
  • 利用开源构建服务篡改代码(T4-2-1)
  • 攻击构建服务篡改代码(T4-2-2)
• 分发阶段篡改(T4-3)
  • 通过接管托管仓库账号篡改(T4-3-1)
  • 服务劫持(T4-3-2)
  • 域名劫持(T4-3-3)

供应关系威胁(T5)

• 供应中断或降级(T5-1)
  • 软件停止维护(T5-1-1)
  • 供应商停止供应(T5-1-2)
  • 由于其他因素影响供应(T5-1-3)

违规操作(T6)

• 违规获取(T6-1)
  • 违规获取数据(T6-1-1)
  • 违规获取权限(T6-1-2)
• 违规使用(T6-2)
  • 违规使用软件(T6-2-1)
  • 违规使用数据(T6-2-2)
• 违规传输(T6-3)
  • 违规传输数据(T6-3-1)

应用场景

企业安全建设

• 用于作为软件供应链安全项目立项参考依据
• 用于安全运营中提升威胁识别能力、风险排查
• 用于供应商安全能力评价

安全产品设计

• 用于指导安全产品设计