引言

　　《軟件供應鏈安全白皮書（2021）》著重分析了軟件供應鏈安全，梳理了軟件供應鏈的安全現狀，透過現狀全面剖析軟件供應鏈的安全風險及面臨的安全挑戰，有針對性的提出如何對軟件供應鏈的安全風險進行防范與治理，系統闡述了軟件供應鏈安全的防護體系及軟件供應鏈安全的應用實踐以供參考。

　　正文

　　2021年7月21日，中國首屆DevSecOps敏捷安全大會（DSO 2021）在北京成功舉辦，由中國信通院與懸鏡安全聯合編撰的《軟件供應鏈安全白皮書（2021）》（以下簡稱“白皮書”）于會議現場發布，中國信通院云大所副所長栗蔚與懸鏡安全創始人兼CEO子芽共同啟動白皮書發布儀式。

　　圖：《軟件供應鏈安全白皮書（2021）》發布

　　懸鏡安全創始人兼CEO子芽針對當前發展趨勢，就如何開展全方位的軟件供應鏈安全檢測防御方法和技術研究提出四點建議：

　　第一，開展軟件成分動態分析及開源應用缺陷智能檢測技術研究，突破高效高準確性的開源應用安全缺陷動態檢測技術的瓶頸，解決基于全代碼遍歷和代碼片段級克隆技術比對的應用安全檢測難題，進一步實現對全球開源應用的全面安全檢測，從源頭堵住軟件供應鏈安全隱患。

　　第二， 建立全球開源應用的傳播態勢感知和預警機制，攻克軟件供應鏈中軟件來源多態追蹤技術，實現對供應鏈各環節中軟件來源的溯源機制。通過軟件來源多態追蹤技術監控開源應用的使用傳播和分布部署態勢，全面把握有缺陷的開源應用傳播和使用渠道，實現對全球開源應用及其安全缺陷的預測預警。

　　第三，建立國家級/行業級軟件供應鏈安全監測與管控平臺，具備系統化、規模化的軟件源代碼缺陷和異常行為代碼分析、軟件漏洞分析、開源軟件成分及風險分析等關鍵能力，為關鍵基礎設施、重要信息系統用戶提供日常的自查服務，及時發現和處置軟件供應鏈安全風險。

　　第四，嚴格管控軟件供應鏈上游，尤其重點管控開源應用的使用，積極推動區塊鏈等新技術在軟件供應鏈安全領域的推廣和應用，利用區塊鏈的安全可信機制，從根本上提供軟件供應鏈安全的可靠保障。

　　圖：《軟件供應鏈安全白皮書（2021）》目錄

　　軟件供應鏈風險分析

　　在此部分內容中，白皮書基于國內軟件供應鏈風險現狀，對導致安全風險的主要因素進行歸類整理，逐一講解了軟件生命周期中四個主要階段的安全風險。原創性地根據漏洞來源和漏洞狀態兩大類別，對當前存在的軟件供應鏈漏洞進行分析。此外，本章節還匯總了軟件供應鏈的五種攻擊類型，分別列舉了近年來發生的典型軟件供應鏈安全事件并進行分析。

圖：軟件供應鏈漏洞類型

　　軟件供應鏈安全治理方法

　　目前，業界已充分認識到造成網絡安全事件的主要原因之一是由于軟件開發者在開發過程中對開發工具、 開發團隊、開發生命周期和軟件產品自身管理不當，致使軟件存在著安全缺陷，破壞或影響最終用戶的信息安全。白皮書分別從體系構建、設計、編碼和發布運營四個階段進行分析。首次公開了在軟件生命周期的設計階段，軟件供應商風險管理流程與評估模型，同時重點強調了在編碼階段SBOM（軟件物料清單）對缺陷管理的重要作用。

　　圖：軟件供應商評估模型

　　結語

　　作為白皮書的出品人，子芽對軟件供應鏈安全發展做出展望：“軟件隨著AI和自動化惡意攻擊技術不斷升級，專門針對軟件供應鏈的攻擊趨勢明顯加強，軟件供應鏈已經成為網絡空間攻防對抗的焦點，直接影響關鍵基礎設施和數字經濟安全，這也是為何中國第一屆”DevSecOps 敏捷安全大會“（DSO 2021）的主題被定為”安全從供應鏈開始“的主要原因。此外，如何從技術創新的角度，為產業搭建一個匯集”國家、行業、機構、企業“等綜合力量且”同向、同心“的軟件供應鏈安全保障生態體系變得愈發重要。”