引言

　　《軟件供應(yīng)鏈安全白皮書（2021）》著重分析了軟件供應(yīng)鏈安全，梳理了軟件供應(yīng)鏈的安全現(xiàn)狀，透過現(xiàn)狀全面剖析軟件供應(yīng)鏈的安全風(fēng)險及面臨的安全挑戰(zhàn)，有針對性的提出如何對軟件供應(yīng)鏈的安全風(fēng)險進(jìn)行防范與治理，系統(tǒng)闡述了軟件供應(yīng)鏈安全的防護(hù)體系及軟件供應(yīng)鏈安全的應(yīng)用實(shí)踐以供參考。

　　正文

　　2021年7月21日，中國首屆DevSecOps敏捷安全大會（DSO 2021）在北京成功舉辦，由中國信通院與懸鏡安全聯(lián)合編撰的《軟件供應(yīng)鏈安全白皮書（2021）》（以下簡稱“白皮書”）于會議現(xiàn)場發(fā)布，中國信通院云大所副所長栗蔚與懸鏡安全創(chuàng)始人兼CEO子芽共同啟動白皮書發(fā)布儀式。

　　圖：《軟件供應(yīng)鏈安全白皮書（2021）》發(fā)布

　　懸鏡安全創(chuàng)始人兼CEO子芽針對當(dāng)前發(fā)展趨勢，就如何開展全方位的軟件供應(yīng)鏈安全檢測防御方法和技術(shù)研究提出四點(diǎn)建議：

　　第一，開展軟件成分動態(tài)分析及開源應(yīng)用缺陷智能檢測技術(shù)研究，突破高效高準(zhǔn)確性的開源應(yīng)用安全缺陷動態(tài)檢測技術(shù)的瓶頸，解決基于全代碼遍歷和代碼片段級克隆技術(shù)比對的應(yīng)用安全檢測難題，進(jìn)一步實(shí)現(xiàn)對全球開源應(yīng)用的全面安全檢測，從源頭堵住軟件供應(yīng)鏈安全隱患。

　　第二， 建立全球開源應(yīng)用的傳播態(tài)勢感知和預(yù)警機(jī)制，攻克軟件供應(yīng)鏈中軟件來源多態(tài)追蹤技術(shù)，實(shí)現(xiàn)對供應(yīng)鏈各環(huán)節(jié)中軟件來源的溯源機(jī)制。通過軟件來源多態(tài)追蹤技術(shù)監(jiān)控開源應(yīng)用的使用傳播和分布部署態(tài)勢，全面把握有缺陷的開源應(yīng)用傳播和使用渠道，實(shí)現(xiàn)對全球開源應(yīng)用及其安全缺陷的預(yù)測預(yù)警。

　　第三，建立國家級/行業(yè)級軟件供應(yīng)鏈安全監(jiān)測與管控平臺，具備系統(tǒng)化、規(guī)模化的軟件源代碼缺陷和異常行為代碼分析、軟件漏洞分析、開源軟件成分及風(fēng)險分析等關(guān)鍵能力，為關(guān)鍵基礎(chǔ)設(shè)施、重要信息系統(tǒng)用戶提供日常的自查服務(wù)，及時發(fā)現(xiàn)和處置軟件供應(yīng)鏈安全風(fēng)險。

　　第四，嚴(yán)格管控軟件供應(yīng)鏈上游，尤其重點(diǎn)管控開源應(yīng)用的使用，積極推動區(qū)塊鏈等新技術(shù)在軟件供應(yīng)鏈安全領(lǐng)域的推廣和應(yīng)用，利用區(qū)塊鏈的安全可信機(jī)制，從根本上提供軟件供應(yīng)鏈安全的可靠保障。

　　圖：《軟件供應(yīng)鏈安全白皮書（2021）》目錄

　　軟件供應(yīng)鏈風(fēng)險分析

　　在此部分內(nèi)容中，白皮書基于國內(nèi)軟件供應(yīng)鏈風(fēng)險現(xiàn)狀，對導(dǎo)致安全風(fēng)險的主要因素進(jìn)行歸類整理，逐一講解了軟件生命周期中四個主要階段的安全風(fēng)險。原創(chuàng)性地根據(jù)漏洞來源和漏洞狀態(tài)兩大類別，對當(dāng)前存在的軟件供應(yīng)鏈漏洞進(jìn)行分析。此外，本章節(jié)還匯總了軟件供應(yīng)鏈的五種攻擊類型，分別列舉了近年來發(fā)生的典型軟件供應(yīng)鏈安全事件并進(jìn)行分析。

圖：軟件供應(yīng)鏈漏洞類型

　　軟件供應(yīng)鏈安全治理方法

　　目前，業(yè)界已充分認(rèn)識到造成網(wǎng)絡(luò)安全事件的主要原因之一是由于軟件開發(fā)者在開發(fā)過程中對開發(fā)工具、 開發(fā)團(tuán)隊(duì)、開發(fā)生命周期和軟件產(chǎn)品自身管理不當(dāng)，致使軟件存在著安全缺陷，破壞或影響最終用戶的信息安全。白皮書分別從體系構(gòu)建、設(shè)計、編碼和發(fā)布運(yùn)營四個階段進(jìn)行分析。首次公開了在軟件生命周期的設(shè)計階段，軟件供應(yīng)商風(fēng)險管理流程與評估模型，同時重點(diǎn)強(qiáng)調(diào)了在編碼階段SBOM（軟件物料清單）對缺陷管理的重要作用。

　　圖：軟件供應(yīng)商評估模型

　　結(jié)語

　　作為白皮書的出品人，子芽對軟件供應(yīng)鏈安全發(fā)展做出展望：“軟件隨著AI和自動化惡意攻擊技術(shù)不斷升級，專門針對軟件供應(yīng)鏈的攻擊趨勢明顯加強(qiáng)，軟件供應(yīng)鏈已經(jīng)成為網(wǎng)絡(luò)空間攻防對抗的焦點(diǎn)，直接影響關(guān)鍵基礎(chǔ)設(shè)施和數(shù)字經(jīng)濟(jì)安全，這也是為何中國第一屆”DevSecOps 敏捷安全大會“（DSO 2021）的主題被定為”安全從供應(yīng)鏈開始“的主要原因。此外，如何從技術(shù)創(chuàng)新的角度，為產(chǎn)業(yè)搭建一個匯集”國家、行業(yè)、機(jī)構(gòu)、企業(yè)“等綜合力量且”同向、同心“的軟件供應(yīng)鏈安全保障生態(tài)體系變得愈發(fā)重要。”