白皮书：理清企业供应链依赖关系，是确保软件供应链安全的关键

7月18日， 由绿盟科技承办的“2022中国网络空间新兴技术安全创新论坛-云安全分论坛”在深圳召开。会上，绿盟科技发布《软件供应链安全技术白皮书》（以下简称“白皮书”），对推动国内软件供应链生态建设具有重要意义。

信息和通信技术（ICT）产业链承担着我国产业从工业化向数字化转型升级的重要任务，软件供应链作为ICT供应链的重要组成部分，是各类关键信息基础设施平稳运行的基础，其关键组件的设计、开发、部署、监控和持续运营等生命周期核心环节的安全可控，成为网络安全的关键考量因素。

在此次大会上，绿盟科技集团天元实验室高级研究员陈静发表演讲，她表示从近几年的软件供应链攻击事件来看，利用开源社区、公共开源存储仓库等开源软件生态入侵事件较为严重。因此需要从监管层面加强供应链产品安全认证管理，提供企业软件SBOM托管和可信认证服务，企业也需要完善供应链资产管理和安全检查，借助SBOM知识图谱理清企业供应链依赖关系，从而在监测到预警时能够从容应对。

同时，为应对软件供应链威胁，上游企业需要构建自身产品的软件成分清单来梳理软件供应链信息，向下游企业和用户清晰、透明的提供管理软件供应链所需要的基础条件。软件成分清单依据识别成分的粒度，可以分为不透明、微透明、半透明和透明几个阶段。透明程度高的软件成分清单，能显著提升最终用户进行软件供应链安全评估的准确性。

绿盟科技集团天元实验室高级研究员陈静

此外，陈静对企业供应链上下游关系做了进一步阐述，她表示，在软件开发生命周期中，开发阶段漏洞的引入不止在代码编写阶段，还有所依赖的开源组件、开发和构建工具等，依照软件的开发和构建过程，企业需要建设开发过程安全评估能力。在软件交付阶段，作为供应商，除保证交付软件安全外，也应将软件成分清单一并交付给下游企业，促使整个软件供应链的上下游都具备依据安全通报、威胁情报监控等第三方信息能够分析、评估软件供应链安全的基本条件。供应链软件产品交付运行后，供应商应在产品的生命周期内提供安全保障服务，对产品漏洞及时修复，最终用户也应根据供应商所提供的软件成分清单纳入企业资产管理范围，定期对资产进行安全评估，结合漏洞预警，对受影响的产品进行加固和修复。

在技术不断迭代与产业高速发展中，软件供应链逐渐形成了包含技术体系、多元产品组件及各路开发者、供应者与消费者为一体的庞大产业生态，软件供应链安全将直接影响关键基础设施和数字经济安全。作为中国可信安全生态建设的积极参与者，绿盟科技推出软件供应链技术安全白皮书，旨在从软件供应链安全威胁与国内外形势来梳理软件供应链中存在的安全问题，提炼出软件供应链安全治理的核心理念、技术框架、关键技术，并从供应链安全监管和控制方面给出解决方案和最佳实践，期望为读者带来全新的技术思考，助力我国软件产业发展。

在未来，绿盟科技将不忘初心，坚持以技术推动产业，主动履行社会责任。相信随着软件供应链安全的稳步发展，我国软件供应链安全技术应用生态与数字建设将迎来新的高度。