軟件供應鏈安全白皮書（2021）

本白皮書著重分析了軟件供應鏈安全，梳理了軟件供應鏈的安全現狀，透過現狀全面剖析軟件供應鏈的安全風險及面臨的安全挑戰，有針對性地提出如何對軟件供應鏈的安全風險進行防范與治理，系統闡述了軟件供應鏈安全的防護體系及軟件供應鏈安全的應用實踐以供參考，最后白皮書結合現在軟件供應鏈安全的發展趨勢進行了全面的分析及展望。

軟件供應鏈安全作為國家近幾年新提出的網絡安全理念，不再是針對軟件供應鏈上單一環節進行安全防護，而是針對軟件供應鏈全鏈路進行安全監控防護，薄弱環節的安全預防更是重中之重。

軟件供應鏈安全白皮書（2021）

▼

（全文略，頁數：60+）

隨著容器、微服務等新技術日新月異，開源軟件成為業界主流形態，軟件行業快速發展。但同時，軟件供應鏈也越來越趨于復雜化和多樣化，軟件供應鏈安全風險不斷加劇，針對軟件供應鏈薄弱環節的網絡攻擊隨之增加，軟件供應鏈成為影響軟件安全的關鍵因素之一。近年來，全球針對軟件供應鏈的安全事件頻發，影響巨大，軟件供應鏈安全已然成為一個全球性問題。如何更加全面、

高效地保障軟件供應鏈的安全對于我國軟件行業發展、數字化進程推進具有重要意義。

軟件供應鏈的生命周期包括原始組件、集成組件、軟件產品及產品運營四個環節。在軟件供應鏈中，原始組件是原材料，集成組件是中間組件，軟件產品是交到消費者手中的商品，產品運營是為消費者提供的服務保障產品的正常運行。因此，軟件供應鏈可以理解為軟件和系統的從生產到交付全過程，是一套自動化、標準化及規模化的持續交付的流水線。通過設計和開發階段，將生產完成的軟件產品通過軟件交付渠道從軟件供應鏈運輸給最終用戶。

附：軟件供應鏈安全白皮書（2021）.pdf