软件供应链安全提升企业核心竞争力.pdf

1、目 录CONTENTS软件供应链安全四个阶段软件供应链安全核心技术AI+软件供应链安全核心价值02.03.04.软件供应链成为重要挑战Gartner将软件供应链安全列为2023年的第二大威胁，并预测到2025年全球45%的组织将遭受一次或多次软件供应链攻击。全球局势不稳定性不确定性增加，加大的软件供应链安全风险。国际局势数字化的发展和应用深入，会形成软件应用大爆发趋势。技术趋势科技自立自强的战略迫切需要强健的软件供应链安全做保障。国家战略用开源组件构建应用的开发现状，会导致安全漏洞数量巨增。开发模式软件供应链漏洞问题频发伴随着上云大趋势，软件供应链的复杂度不断增加，软件供应链安全风险不断加剧，

2、针对软件供应链薄弱环节的网络攻击随之增加，受地域政治等因素影响的断供案例频频发生，软件供应链成为影响软件安全的关键因素之一。2015年，苹果公司的Xcode开发集成环境被植入恶意代码并在非官方渠道发布，事件影响用户数超过1亿。2017年，勒索软件NotPetya利用供应链发起攻击，影响全球59个国家的政府、银行、机场等机构的系统。2017年，黑客利用Equifax系统中未修复的漏洞发起攻击，导致了系统中大规模数据泄露。2020年，SolaWinds遭到供应链攻击，包括美国关键基础设施、军队、政府等在内的超18000+客户受到影响。2021年，Apache Log4j程序中发现了远程代码执行0D

3、ay漏洞，该漏洞号称“史诗级漏洞”，时至今日其影响力仍然巨大。2020年，云平台开源软件DockerEE和DockerHub受美国政策影响，禁止被列入实体清单的组织使用。2022年，RedHat旗下的开源操作系统CentOS 8停止维护支持，CentOS 7也计划于2024年停止维护。软件供应链安全的复杂性引用信通院2023年软件供应链治理发布数据显示：*平均每个项目引入组件数190*平均每个项目缺陷组件数55*平均每个项目存在漏洞数161环境复杂需求多样性跨地域多企业协作多环节协作安全能力发展不均责任不清晰供应链系统容易受到来自外部和链条上各自实体内部不利因素的影响，就会客观地形成供应链风险

4、各类因素交织，导致终端企业承受相关风险，但是却很难进行管理，也缺少相关理论和技术进行支持软件供应链安全问题存在全生命周期运营商软件涉及的供应商、集成商等合作方众多，供应链复杂。供应链安全挑战集中在供应链安全风险评估定责、以及供应商管理、ICT资产管理、关键核心技术依赖等方面。供应链安全风险评估及追溯定责生产商/供应商/集成商BOM/SBOM 管理关键核心技术过程管理供应链复杂：运营商供应链涉及硬件、软件、集成、开发、交付、运维、服务等多种类产品供应链条，风险多样且难以甄别。政策面支持：尚缺乏可直接参考的法律、法规及标准规范。厂商产品、服务资质评估厂商品牌、信誉可信度评估供应商产品管理、人员管理

5、集成商人员管理、服务管理BOM物料台账管理SBOM物料台账管理物料清单供应链风险识别与评估供应链风险防护与处置供应链安全应急响应软件代码规范性管理软件开发过程规范管理软件开发环境与工具软件开源软件依赖软件开发人员管理软件供应链安全解决思路软件供应链安全治理框架以合规为基础，以安全为追求 持续保障企业软件供应链安全1.采购阶段安全管理-供应商来源控制1.供应商资质审查与可信分级2.供应商安全监督管理规范3.供应商安全考核指标4.供应流程风险分析5.供应商服务与应急处置2.集成开发法律法规关注开源风险安全管理制度流程人员技术服务培训威胁合规要求反APT技术栈防范应用漏洞国家标准行业标准平台4.安全

6、运营3.软件交付安全工具代码STACSASTSCAIASTDAST攻防监测工具应急安全管理-验收1.采购软件安全验收规范2.软件安全部署规范安全管理-SDL1.外包人员开发管理规范2.开发环境和工具安全管理规范3.安全开发管理体系4.安全开发流程建设5.安全开发知识体系建设6.安全开发训练体系建设安全工具-DevSecOps1.安全开发一体化平台2.软件成分分析工具SCA3.静态安全审计工具SAST4.应用交互式测试工具IAST5.威胁建模分析工具6.黑盒安全扫描工具DAST安全工具-检测1.供应链安全管理2.软件成分分析工具SCA3.静态安全审计工具SAST4.应用交互式测试工具IAST5.