白皮書：理清企業供應鏈依賴關系，是確保軟件供應鏈安全的關鍵

7月18日， 由綠盟科技承辦的“2022中國網絡空間新興技術安全創新論壇-云安全分論壇”在深圳召開。會上，綠盟科技發布《軟件供應鏈安全技術白皮書》（以下簡稱“白皮書”），對推動國內軟件供應鏈生態建設具有重要意義。

信息和通信技術（ICT）產業鏈承擔著我國產業從工業化向數字化轉型升級的重要任務，軟件供應鏈作為ICT供應鏈的重要組成部分，是各類關鍵信息基礎設施平穩運行的基礎，其關鍵組件的設計、開發、部署、監控和持續運營等生命周期核心環節的安全可控，成為網絡安全的關鍵考量因素。

在此次大會上，綠盟科技集團天元實驗室高級研究員陳靜發表演講，她表示從近幾年的軟件供應鏈攻擊事件來看，利用開源社區、公共開源存儲倉庫等開源軟件生態入侵事件較為嚴重。因此需要從監管層面加強供應鏈產品安全認證管理，提供企業軟件SBOM托管和可信認證服務，企業也需要完善供應鏈資產管理和安全檢查，借助SBOM知識圖譜理清企業供應鏈依賴關系，從而在監測到預警時能夠從容應對。

同時，為應對軟件供應鏈威脅，上游企業需要構建自身產品的軟件成分清單來梳理軟件供應鏈信息，向下游企業和用戶清晰、透明的提供管理軟件供應鏈所需要的基礎條件。軟件成分清單依據識別成分的粒度，可以分為不透明、微透明、半透明和透明幾個階段。透明程度高的軟件成分清單，能顯著提升最終用戶進行軟件供應鏈安全評估的準確性。

綠盟科技集團天元實驗室高級研究員陳靜

此外，陳靜對企業供應鏈上下游關系做了進一步闡述，她表示，在軟件開發生命周期中，開發階段漏洞的引入不止在代碼編寫階段，還有所依賴的開源組件、開發和構建工具等，依照軟件的開發和構建過程，企業需要建設開發過程安全評估能力。在軟件交付階段，作為供應商，除保證交付軟件安全外，也應將軟件成分清單一并交付給下游企業，促使整個軟件供應鏈的上下游都具備依據安全通報、威脅情報監控等第三方信息能夠分析、評估軟件供應鏈安全的基本條件。供應鏈軟件產品交付運行后，供應商應在產品的生命周期內提供安全保障服務，對產品漏洞及時修復，最終用戶也應根據供應商所提供的軟件成分清單納入企業資產管理范圍，定期對資產進行安全評估，結合漏洞預警，對受影響的產品進行加固和修復。

在技術不斷迭代與產業高速發展中，軟件供應鏈逐漸形成了包含技術體系、多元產品組件及各路開發者、供應者與消費者為一體的龐大產業生態，軟件供應鏈安全將直接影響關鍵基礎設施和數字經濟安全。作為中國可信安全生態建設的積極參與者，綠盟科技推出軟件供應鏈技術安全白皮書，旨在從軟件供應鏈安全威脅與國內外形勢來梳理軟件供應鏈中存在的安全問題，提煉出軟件供應鏈安全治理的核心理念、技術框架、關鍵技術，并從供應鏈安全監管和控制方面給出解決方案和最佳實踐，期望為讀者帶來全新的技術思考，助力我國軟件產業發展。

在未來，綠盟科技將不忘初心，堅持以技術推動產業，主動履行社會責任。相信隨著軟件供應鏈安全的穩步發展，我國軟件供應鏈安全技術應用生態與數字建設將迎來新的高度。