軟件供應鏈安全治理探索與實踐

軟件供應鏈安全治理日益成為安全行業的焦點話題，一方面是近幾年國家、行業的法律法規與標準要求帶來的合規性壓力，另一方面因軟件供應鏈安全問題與事件的頻發催生的內在安全動力，眾多企業機構將軟件供應鏈安全工作納入未來3～5年安全規劃的重點方向領域。

從業務角度來講，軟件系統的安全性是業務服務安全穩定的基礎，宏觀上直接決定企業和行業的信息化、數字化能否有序穩步發展，加強軟件供應鏈安全治理意義重大。

一、治理難點分析

風險來源的多樣化：

從軟件生命周期風險角度，設計、開發、測試、上線、變更、下線各個環節均有潛在的安全風險威脅；從軟件供應鏈條角度，參差不齊的供應商水平、能力水平及安全意識各異的第三方人員，都存在風險引入的隱患。各類攻防演練的結果證明，軟件供應鏈攻擊已成為投入低、見效快、易突破的有效方式。

軟件自身的復雜性與不可見性：

為了提高交付效率，降低開發成本，現有軟件開發方式采用組裝方式，包括應用層面的組件依賴，基礎服務、基礎設施維度的成熟組件與框架等。待交付、待上線的軟件引用了哪些組件，以及組件的版本、漏洞、知識產權等各方面信息的掌控，均給治理工作帶來較大壓力。

來源：信息安全技術 軟件供應鏈安全要求（征求意見稿）

企業內部阻力重重：

軟件供應鏈覆蓋業務、運維、網絡、安全各部門，部門之間的角色分工無疑也形成了隱形壁壘，缺乏行之有效的協作機制，責任無法落實，業務與安全之間的距離導致無法形成對外部供應鏈管理和技術上的合力。

安全合規符合性任務重：

針對軟件供應鏈安全合規，《網絡安全法》《等級保護要求》《關基保護條例》《網絡安全審查辦法》等對供應商責任與義務、管理制度、軟件風險控制等方面提出安全要求，其中，2022年發布的信息安全技術 軟件供應鏈安全要求（征求意見稿）對安全管理要求、軟件供應活動各環節提出了管理、技術側的全面性要求。軟件供應鏈安全合規如何滿足、與現有安全合規體系如何對接融合都是較為棘手的問題。

二、安全治理思路探索

鑒于軟件供應鏈面臨的風險威脅特點與安全合規體系化的全面性要求，結合企業內部管理特點，軟件供應鏈安全治理必須是管理與技術相結合的體系化設計，采用框架性、系統性思維結合實際場景進行治理方案的設計。

總體思路與原則：合規是底線，管理是準則，制度是要求，技術是支撐，服務是保障，流程是協作。

軟件供應鏈安全治理框架體系

在落地實踐角度，首先須進行安全管理體系的組建與完善，提供治理過程的頂層支持能力，同時為約束各部門行為、管控供應商提供指導依據。例如通過管理機構的設置與任命，將各部門納入治理管理體系，打通組織間的隔閡，為后續的協作流程做鋪墊。安全管理制度的建立，能夠規范軟件供應鏈涉及的內部、外部角色的行為，同時提供制度性保障。

其次，針對軟件開發各階段與存在的風險，引入對應的安全能力，提供技術支撐，確保安全質量。針對開發外包、商業軟件采購場景，也須引入安全工具或服務，在交付、驗收等重要環節建立安全“質量門禁”。

再其次，建立針對軟件生命周期、風險威脅管理等方面的流程機制，與企業內部現有流程進行整合，在管理體系的支持與工具體系的支撐下，以軟件供應鏈安全為核心，實現部門間安全責任的落實與風險規范化控制，確保安全與業務同步進行。

最后，軟件供應鏈安全治理過程，也需要不同類型的安全服務的引入，確保治理過程效果可衡量、風險可控制、合規能評估、威脅可處置。

三、治理過程實踐

軟件供應鏈安全治理是較為復雜的系統性工程，須基于行業企業實際情況、結合合規與風險、設計落地步驟，以咨詢的視角來看，應結合企業合規要求與軟件供應鏈現狀風險，進行充分的調研分析，從而進行合規性評估與風險收斂，設計治理體系框架，進一步細化落地實施步驟。

針對軟件供應鏈安全監管側治理工作，可以依據國家、行業各類安全合規性要求，針對本行業、區域制定頂層監管設計，建立標準要求，督促相關要求的執行實踐，定期進行監督檢查評價，也可組織針對軟件供應鏈的實戰攻防檢驗措施進行質量驗證，促進企業安全問題風險整改，推進軟件供應鏈安全治理水平的提升。

結語

軟件供應鏈安全治理不能依靠單一手段去解決安全風險與合規問題，在當前復雜且旺盛的軟件與服務需求的大背景下，確保軟件供應鏈安全即是保障業務安全，需要企業基于自身的現狀需求不斷探索研究，多重手段措施的應用實踐，才能持續推進軟件供應鏈安全治理與管理能力。