2025带你看清软件供应链安全现在、未来趋势和最佳管理实践 ...

01 软件供应链安全背景
（1）关于软件供应链安全
软件供应链由传统供应链扩展而来，它涵盖了原始组件、集成组件、软件产品和连续运营等多个环节。在这个生态体系中，供应关系和软件供应链的定义至关重要。供应关系是指需方和供方之间为开展业务、提供软件产品或服务建立的协议、合同等契约关系；软件供应链则是基于供应关系，将软件产品或服务从供方交付给需方并完成摆设及软件生命周期维护而形成的网链体系。

而如今软件供应链的定义已无法顺应数字期间技术创新带来的新发展。因此，数字供应链的概念应运而生。数字供应链是基于互联网、物联网、人工智能等新一代信息技术，以数字化平台为支撑，由数字应用、底子设施服务、供应链数据三大基本构成。此中，数字应用包括软件、Web、固件等，底子设施服务是指云服务、IT托管服务等，供应链数据则包括底子数据和敏感信息等。

（2）软件供应链安全频发
随着开源、人工智能、云计算等技术的高速发展和广泛应用，数字供应链越趋于复杂化和多样化，安全风险不断加剧，也带来了巨大的威胁和损失。

例如，2021 年 8 月发生的Realtek 的WiFi SDK漏洞，中国台湾芯片厂商Realtek 发布安全公告称在其软件开发套件和WiFi模块中发现了4个安全漏洞。攻击者可利用该漏洞绕过身份验证，并以最高权限运行恶意代码，有效继续装备。本次暴出漏洞的芯片至少有65家供应商在利用，生产出的装备数目超过十万台。

再如，2021 年 12 月，Apache 开源组件 Log4j2漏洞， 被认为是 “2021 年最重要的安全威胁之一”。以及2022年3月国家信息安全漏洞共享平台（CNVD）收录 Spring 框架远程命令执行漏洞（CNVD - 2022 - 23942）。攻击者利用该漏洞，可在未授权的环境下远程执行命令，该漏洞被称为 “核弹级” 漏洞，利用 JDK9 及以上版本皆有大概受到影响。2024年3月发现Linux主流压缩库xz漏洞......

这些事件均表明，数字供应链威胁日益严重。

（3）数字供应链威胁日益严重
根据国际着名咨询机构Gartner 推测，到 2025 年，环球 45% 的构造的数字供应链遭受过攻击，这一数字比 2021 年增加了三倍。

Sonatype 发布的《第八届数字供应链年度总结》显示，从 2019 年到 2022 年，数字供应链攻击事件呈现出高发态势，三年间安全事件的年均匀增长率达到了 742%，并且依赖混淆、域名仿冒和恶意代码注入等攻击本领，仍旧是数字供应链面临的严重威胁。

截止到2023 年 9 月，我们已记录 245,032恶意软件包，相较2022年恶意软件包的数目增加了三倍。

（4）国内外政策要求
政策也对供应链安全提出了明确要求。公安部 1960 号文明确了供应链安全要求，中国银保监也强调要加强技术供应链安全管理。在国外，医疗行业率先提出 SBOM 的利用需求，并形成了可引导理论的实践经验。例如，2018 年，美医疗行业首先提出 SBOM 的利用需求，并于 2019 年开始试点。到 2021 年，医疗行业已形成可引导理论的实践经验。2022 年 4 月，FDA 发布医疗装备网络安全草案，专章推荐利用 SBOM。

02 软件供应链安全挑战
（1） 软件供应链安全的“内忧外患”
国际竞争加剧，技术封锁和出口管制严重影响数字供应链完备性，对数字供应链的自主可控、安全高效提出了更高的要求。软件开源化趋势增强，开源软件风险随着代码管平台大量传播，更有开发者故意留后门影响卑鄙软件，开源软件之间复杂的依赖关系，导致风险的二次传播，管理更加困难。同时，国内开源知识产权和法律连续美满，存在开源许可证辩论风险、知识产权风险。数字供应链风险点增多，软件复杂化导致供应链过长，引入风险环节多，增加安全检测和维护的难度，数字供应链使风险得以自上而下扩散，小问题大概酿成庞大缺陷，购买贸易软件或外包开发通常疏于对安全的验收，计划缺陷、深层次漏洞难以发现。此外，现有数字供应链解决方案覆盖不全、自动化水平低、脱离实际业务，无法有效发挥作用，敏捷开发下对自动化水平要求高，安全无法融入开发环节，导致数字供应链安全管控缺失。

（2）安全挑战-企业现状
在当今的企业环境中，软件供应链安全面临着诸多挑战，尤其是在企业现状方面，存在着一些突出的问题。
1 大多数开发者认为第三方库是安全可靠的。
据统计，98%的软件开发公司甚至不知道本身软件产品到底利用了哪些第三方库组件。这表明企业对软件构成成分的了解严重不足，无法有效掌控软件的供应链。大部门软件开发者在引入第三方库的时候，并没有关注引入组件是否存在安全隐患大概缺陷。尤其是一些著名开源工程，完全不去做任何安全校验。这使得软件在开发过程中就大概引入潜在的安全风险，为后续的利用埋下隐患。
2 经常复用的第三方库，每每是攻击者最喜好的。
攻击者寻找一个零日漏洞很困难，但已知漏洞每每成为了其最常用的方式。NVD 库中存在十几万个已知漏洞，是一把双刃剑，既可以提醒软件开发者潜在的安全隐患，也可以提示攻击者在用户误用了一些含有漏洞的第三方库时进行攻击。在 2018 年的护网行动中，浩繁软件体系被攻击就是利用了第三方库中的已知漏洞。这凸显了企业对已知漏洞的忽视大概带来的严重后果，以及加强对第三方库组件安全审查的重要性。
3 不同开源软件的许可证大概存在合规性和兼容性风险
尽管开源软件拥有 “免费” 的上风，但它与其它软件一样都要受到许可证的约束。然而，实际环境是，67% 的代码库包含某种情势的开源代码许可证辩论，33% 的代码库包含没有可识别许可证的开源组件。在利用开源软件时，不同开源软件的许可证大概存在合规性和兼容性风险，从而导致知识产权风险。
例如，2019 年 11 月 6 日，数字天堂（北京）网络技术有限公司诉柚子（北京）科技有限公司、柚子（北京）移动技术有限公司陵犯计算机软件著作权纠纷一案终审判断，判令柚子公司停止侵权并补偿 71 万元。该案被称为中国第一个涉及 GPL 协议的诉讼案件，进一步说明了开源软件的知识产权风险是不可忽视的重要风险之一。

（3) 安全挑战-“四个不”
理不清：企业不清楚体系中利用了多少开源软件和开源组件。
看不见：企业中已利用的开源软件和开源组件中存在多少已知的安全漏洞和知识产权风险。
找不到：企业在开源软件或组件出现漏洞时，无法快速定位到漏洞组件的影响范围，并及时止损，克制漏洞组件下载。
治不了：针对开源软件安全风险，企业缺少相应的评估和修复能力。

03 安全管理实践
面对这些挑战，我们需要进行安全管理实践，联合大量客户实践我们已经形成了一套成熟、完备的实践方案。
（1）风险管理重点目的：应用软件资产
风险管理的重点目的是应用软件资产，包括自研软件代码、OSS 开源软件、COTS 贸易软件和互助开发软件等。

（2）数字供应链安全管理框架
我们需要建立数字供应链安全管理平台，推动数字供应链安全管理体系建设。具体来说，我们要进行软件资产梳理、风险识别和修复替代方案，同时建立源头管理、研发过程管理和上线运营管理等阶段的安全管控机制。

在源头管理阶段，要注意软件源头引入安全控制。

在准备环节，要明确 OSS 软件引入和 SBOM 审查的要求，订定软件 SBOM 清单和供应商管理规范，建立风险控制模型。

在开发环节，要进行 SAST 源代码合规检测和 OSS 软件出厂 SBOM 准备，同时进行 SCA 开源威胁管理。

在采购环节，要订定软件采购规范和 SBOM 要求，对供应商进行安全审查。

在研发过程管理阶段，要注意软件可信研发运营安全。

在编码构建阶段，引入 SAST 检测源代码风险，利用 SCA 检测开源组件中的已知漏洞和许可辩论。

在测试上线阶段，利用 IAST 上线条件前发现风险，覆盖 API 接口安全测试，建立质量门禁。同时，要编制 SBOM 物料清单，形成梳理软件资产的数据标准，维护并跟踪最新安全事件造成的影响。

在上线运营管理阶段，要注意应用安全。对上线自研、外购软件在应用运行过程进行入侵监控与威胁免疫，建立供应链威胁连续运营能力，针对数字供应链攻击、数字供应链投毒等事件进行自动防御。联合数字供应链情报，提前防御及响应供应链威胁。

（3）数字供应链安全审查方案
数字供应链安全审查方案旨在全面评估和保障数字供应链的安全性。

在审查目的方面，我们要识别和评估数字供应链中存在的安全风险，确保软件、组件和体系符合安全标准和合规要求，并提供可追溯性和透明度。

在审查范围上，我们要涵盖企业内部利用的各种软件，包括自研软件、开源软件和贸易软件，以及软件的整个生命周期和相干的供应商、互助伙伴等。

在审查方法上，我们会利用专业的安全扫描工具，如漏洞扫描器、恶意软件检测工具等，同时采用二进制 SCA 技术、SAST 技术和 IAST 技术进行全面检测。

在审查流程上，我们会从软件上传开始，颠末软件资产采购、输出 SBOM、供应链安全审查平台的检测、指派责任对象响应修复、融入 CI/CD 以及与 SOC体系集成等多个环节，确保安全审查的全面性和有效性。

此外，我们还可以订定相干的制度和规范，包括软件采购审查规范、供应链安全应急预案、供应链安全风险管理制度和供应链安全审查绩效考核标准等，以保障数字供应链安全审查工作的顺遂进行。

（4）数字供应链入口安全风险管控
在数字供应链安全管理中，我们需要关注入口安全风险管控。数字供应链的重要安全风险包括外包开发 / 外采对软件安全要求不足、发布环境存在风险以及渠道捆绑安装等问题。

在软件开发环节，我们要引入架构分析和威胁建模，进行源代码和开源组件检测，建立质量门禁，并编制 SBOM 物料清单。

在软件引入和运营阶段，我们要梳理存量软件应用，进行入侵监控和威胁免疫，提前防御及响应供应链威胁。

（5）数字供应链的重要安全风险分析
数字供应链的重要安全风险在不同阶段存在不同的问题和难点，也需采取不同的措施。

（6）关键供应链安全审查技术-二进制SCA
企业贸易化软件交付制品重要以二进制、容器制品、安装包等形态交付。二进制SCA检测技术，有效应对各类软件检测需求，涵盖移动端、嵌入式、后台开发、云原生各种开发场景下的跨架构格式剖析。

（7）构建供应链上完备SBOM信息
它具有重要价值，如作为梳理软件资产的接口、便于集成和转换、便于响应事件情报以及形成衡量标准等。联合 SBOM，我们可以进行数字供应链风险分析，建立供应商风险画像和供应链资产空间。

（8）供应商风险画像，供应链资产空间建立
在当今数字化期间，企业的供应链安全面临着诸多挑战。供应商作为供应链的重要构成部门，其风险状况直接影响着整个供应链的安全。因此，建立供应商风险画像至关重要。供应商风险画像基于对供应商信息的管理和画像，能够帮助我们全面了解供应商的环境。通过对接供应商管理体系，我们可以动态生成供应商风险画像，从而便于供应商选型和风险管理。

在供应商风险画像中，我们关注多个维度的信息。包括供应商的合规设置安全、应用漏洞数、许可风险、代码自研率、开源项目风险、断供风险、供应链投毒、漏洞响应及补丁环境、版本更新速度等。这些信息能够帮助我们全面评估供应商的风险水平，为企业的决议提供有力支持。

同时，供应链资产空间的建立也是数字供应链安全管理的关键环节。通过对供应链资产的梳理，我们可以排查供应商威胁袒露面，找出供应链信息体系与产品中的漏洞，并及时响应供应链安全事件。在供应链资产空间中，我们关注软件应用、软件包、源码文件、中间件、组件、补丁包、更新包等资产。同时，我们还关注这些资产中的漏洞、许可证、敏感信息和编译安全设置等问题。通过建立多维度可连续的数字供应链空间测绘，我们能够更好地管理供应链资产，低沉安全风险。

（9）数字供应链安全情报
联合渠道数字供应链安全情报的数据，并联合计谋、AI、专家体系化运营以及风险评级模型，实现了情报的快准全，帮助企业在安全开发、运维、采购、分发各个阶段提供情报数据解决方案。

（10）专注有效风险
在数字供应链安全管理中，我们必须高度重视有效风险的管理。由于无论从开源漏洞、许可协议来做，都会有许多，一样平常没法全部处理；以是需要专注有效风险的管理包括多个方面，如组件升级、组件中间件管理、漏洞修复以及计谋管控等。

首先，组件升级是低沉风险的重要本领之一。在进行组件升级时，我们需要进行兼容性分析，确保升级后的组件能够与现有体系稳固运行。升级组件可以修复已知的漏洞，进步体系的安全性和稳固性。其次，组件中间件的管理也不容忽视。我们可以直接升级中间件，拉取新版本镜像，以确保中间件的安全性和功能性。

此外，漏洞修复是至关重要的。当发现漏洞时，我们可以采取打补丁、缓解设置、利用RASP热补丁缓解或设置 WAF 规则等措施来修复漏洞，防止攻击者利用这些漏洞进行攻击。同时，计谋管控也是有效风险管理的一部门。我们可以设置临时白名单延期修复，建立质量门禁，进行计谋风险管控和专项审计修复，以确保体系的安全稳固。

小结：数字化数字供应链安全落地管理方案

通过以上实践这里做下总结，首先强调了同一化要求，即外部采购、生产交付软件进行数字供应链安全审查，确保符合安全要求后引入。这一办法面向全部软件资产，并且确保能够收集完备的 SBOM 信息，并集中管理。通过这种方式，我们可以从源头把控软件的安全性，淘汰潜在的安全风险。

在软件生产过程中，我们注意透明化安全管控。确保软件生产过程安全透明，保障开发软件安全发布，形成美满的研发运营体系，美满生产 SBOM。这不仅有助于我们及时发现息争决软件生产过程中的安全问题，还能进步软件的质量和可靠性。

同时，方案还关注软件的连续安全运营。在数字供应链安全管理视角下，对于存量的上线应用资产进行梳理，并提供连续动态风险免疫能力，确保建立快速的响应能力。这样，即使在软件上线后，我们也能及时发现和应对大概出现的安全威胁，保障软件的稳固运行。

此外，方案涵盖了一系列的安全工具和技术，如 SCA、SAST、RASP 等，以及审查引擎和《供应链安全运营引导、应急制度》等规范。这些工具和规范相互配合，形成了一个完备的安全体系，能够有效地防范和应对数字供应链中的各种安全风险。

04
实践案例
在实践案例方面，以某头部新能源车企为例，他们的产品线不仅覆盖国内市场，更是远销海外市场。该厂商生产的汽车搭载了高度集成的车载信息娱乐体系应用，然而，由于这些软件组件来源于多元供应商，存在潜在的开源组件利用及许可风险。具体来说，数字供应链透明度低，难以追踪和管理嵌入式固件以及车端大屏应用中的组件成分；不同的开源组件带有特定的许可证要求，且涉及到海外出口，若未精确遵守，大概导致法律纠纷或贸易损失。

为了解决这些问题，该车企建立了车端供应链安全审查制度，针对嵌入式固件及车端应用输出 SBOM 清单，梳理许可证风险，并将车端应用涉及的软件许可，在车端大屏中进行 “开放源代码许可” 声明公示。通过实验这些措施，该车企有效识别了许可风险，规避了版权许可问题，使业务上线前中高危开源漏洞淘汰了85%。

再以某电信运营商为例，他们面临着产研和安全团队对立、业务与安全审查隔离等问题。具体来说，流程被安全测试割裂，交付被安全查抄拦阻，缺失从源头对安全的管理，缺乏研发流程中各阶段安全自动化审查。

为了解决这些问题，该运营商充分利用自动化技术，将悬镜各个安全能力集成于现有的研发流程，冲破业务、产研与安全的割裂、对立的僵局，从源头进行威胁管控，形成整体的 DevSecOps 敏捷安全研发管理体系与供应链安全流程。通过实验这些措施，该运营商实现了安全自动检测，从全流程进行业务安全审查，使业务安全缺陷低沉了 60%。

末了，以某大型证券机构为例，他们面临着证券行业新技术应用广泛，DevOps研发模式导致业务迭代只考虑完成业务功能忽略业务安全，快速迭代导致安尽力不从心，业务每每带 “病” 上线的问题。

为了解决这些问题，基于敏捷安全的整体思想，将 IAST、SCA 等安全能力原子化，将每一项安全能力融入到 DevOps 的不同阶段，在保障业务快速迭代的底子上，自动化完成安全检测，做好安全卡点。通过实验这些措施，该证券机构实现了安全自动化、流程化的嵌入 DevOps 流程，使业务上线前中高危漏洞淘汰了 85%，并能实时发现业务迭代过程中存在的安全风险，通过漏洞信息联动，达成安全缺陷连续反馈。

末了，开源数字供应链安全管理是一个复杂而体系的工程，需要我们从多个方面入手，加强安全意识，采取有效的安全管理措施，保障数字供应链的安全可靠。

悬镜安全OpenSCA社区是环球首个开源数字供应链安全社区，正式建立于2021.12.31，社区涵盖泛互联网、车联网、金融、能源、信息通信和智能制造等浩繁行业极客用户，为环球开发者们和广大安全研究人员构筑了专注安全开发与开源管理的技术创新实践社区。

OpenSCA社区的开源项目劈头于悬镜安全贸易版源鉴SCA，是国内用户量最多、应用场景最广的开源SCA技术（中国信通院《中国DevOps现状调查报告2023》），通过软件码纹分析、依赖分析、特性分析、引用识别与开源许可合规分析等综合算法，深度挖掘开源供应链安全风险，智能梳理数字资产风险清单，联合SaaS云平台和实时供应链安全情报，为社区用户提供机动弹性、精准有效、稳固易用的开源数字供应链安全解决方案。

我们相信，通过各人的共同努力，我们一定能够应对数字供应链安全面临的挑战，为企业和构造的发展提供坚实的保障。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。