2022年8月1日，由懸鏡安全、ISC、中國(guó)電信研究院共同編撰的《軟件供應(yīng)鏈安全治理與運(yùn)營(yíng)白皮書（2022）》于ISC互聯(lián)網(wǎng)安全大會(huì)懸鏡出品的“軟件供應(yīng)鏈安全治理與運(yùn)營(yíng)論壇”上正式發(fā)布。白皮書重點(diǎn)梳理了軟件供應(yīng)鏈安全現(xiàn)狀和面臨的挑戰(zhàn)，闡述了軟件供應(yīng)鏈安全治理體系和開源威脅治理方案，旨在幫助讀者加強(qiáng)軟件供應(yīng)鏈安全意識(shí)，豐富治理思路。

圖1 《軟件供應(yīng)鏈安全治理與運(yùn)營(yíng)白皮書（2022）》正式發(fā)布

Gartner分析指出，“到2025年，全球45%組織的軟件供應(yīng)鏈將遭受攻擊，比2021年增加了三倍?！笨梢?，軟件供應(yīng)鏈的安全威脅將越來越嚴(yán)重。近年來，軟件供應(yīng)鏈攻擊事件越來越多，如何進(jìn)行此類威脅治理是眾多企業(yè)關(guān)注的重心。畢竟網(wǎng)絡(luò)安全關(guān)乎著企業(yè)是否正常運(yùn)轉(zhuǎn)，是國(guó)民經(jīng)濟(jì)能否正常運(yùn)行的重要前提，而軟件供應(yīng)鏈安全作為網(wǎng)絡(luò)安全的重要組成部分，是實(shí)現(xiàn)網(wǎng)絡(luò)安全的重要前提。

本白皮書在第一章介紹了軟件供應(yīng)鏈安全的發(fā)展背景，從政策法規(guī)驅(qū)動(dòng)和行業(yè)標(biāo)準(zhǔn)規(guī)范等維度，對(duì)軟件供應(yīng)鏈的重要性進(jìn)行了詳述；在軟件供應(yīng)鏈安全現(xiàn)狀章節(jié)詳述了近年以來的軟件供應(yīng)鏈安全相關(guān)事件，迄今為止算是比較詳細(xì)地將此類事件做了總結(jié)，并針對(duì)三個(gè)典型事件進(jìn)行了剖析，通過系統(tǒng)性整理、分析和研究，歸納總結(jié)了軟件供應(yīng)鏈風(fēng)險(xiǎn)的8項(xiàng)典型特征；同時(shí)延展了軟件供應(yīng)鏈安全的風(fēng)險(xiǎn)。相較以往，對(duì)諸多內(nèi)容都做了更充分的說明。詳細(xì)內(nèi)容可自行查閱。

圖2 《軟件供應(yīng)鏈安全治理與運(yùn)營(yíng)白皮書（2022）》目錄

軟件供應(yīng)鏈安全治理體系

報(bào)告詳述了軟件供應(yīng)鏈安全治理的常用框架，此外還構(gòu)建了一套較為全面系統(tǒng)的軟件供應(yīng)鏈安全治理體系，借助安全自動(dòng)化工具，實(shí)現(xiàn)對(duì)軟件供應(yīng)鏈全鏈路的安全風(fēng)險(xiǎn)治理。 

圖3 軟件供應(yīng)鏈安全治理體系

開源威脅治理

Perforce的Open Source Initiative(OSI)和OpenLogic聯(lián)手開展了一項(xiàng)關(guān)于開源軟件狀態(tài)的全球調(diào)查，數(shù)據(jù)顯示，在過去12個(gè)月中，77%的受訪者在其組織中增加了對(duì)開源軟件的使用，36.5%的受訪者表示他們的使用量顯著增加。

也有數(shù)據(jù)顯示，有90%的組織都依賴于開源軟件，而且開源軟件也經(jīng)常被嵌入到其他開源項(xiàng)目中。但是，盡管開源為企業(yè)的創(chuàng)新和快速發(fā)展提供了源動(dòng)力，但與之而來的還有安全風(fēng)險(xiǎn)問題，為攻擊者提供了潛在的安全威脅入口點(diǎn)。

白皮書描述了開源軟件安全風(fēng)險(xiǎn)、開源威脅治理技術(shù)、開源威脅治理前提、開源威脅治理階段等內(nèi)容，也從開源的SCA工具和商業(yè)化的SCA工具兩個(gè)維度為讀者介紹了代表性的SCA工具，讓讀者對(duì)各工具有更深入的了解，還包含以下開源SCA工具對(duì)比表，更詳細(xì)的對(duì)比項(xiàng)請(qǐng)查看白皮書。

圖4 開源SCA工具對(duì)比 

不管是國(guó)內(nèi)還是國(guó)外的應(yīng)用安全廠商，都有自己成熟的AST工具鏈、甚至還有平臺(tái)和服務(wù)體系，也衍生了更豐富的工具布局和規(guī)劃設(shè)計(jì)，以適應(yīng)云原生、物聯(lián)網(wǎng)、產(chǎn)業(yè)互聯(lián)網(wǎng)等不同應(yīng)用場(chǎng)景的需求。在開源治理中，企業(yè)應(yīng)該選擇具有怎樣能力的商業(yè)化SCA工具，白皮書也做了詳細(xì)介紹。

最后

科技的發(fā)展讓社會(huì)協(xié)作變得更加高頻和具有深度，在信息技術(shù)行業(yè)亦是如此。我們自己的業(yè)務(wù)系統(tǒng)會(huì)集成第三方的代碼、使用第三方提供的開發(fā)環(huán)境、應(yīng)用第三方生產(chǎn)的構(gòu)建工具、運(yùn)行在第三方開發(fā)的微服務(wù)和容器之上，這種深度協(xié)作方式讓我們的業(yè)務(wù)生產(chǎn)和運(yùn)營(yíng)效率指數(shù)級(jí)提升，但同時(shí)帶來的，也有軟件供應(yīng)鏈風(fēng)險(xiǎn)史無前例的增長(zhǎng)。

SolarWinds Orion事件讓人們見識(shí)了供應(yīng)鏈攻擊能做到什么，Apache Log4j2漏洞讓人們了解了開源代碼的千瘡百孔，Equifax信息泄露事件讓人們知道了大型企業(yè)的安全建設(shè)在軟件供應(yīng)鏈安全漏洞前是多么的脆弱不堪。這一切，促成了我們對(duì)本報(bào)告的編撰工作，我們希望用系統(tǒng)性的思維和方式，收集、分析、整理、闡述軟件供應(yīng)鏈安全治理與運(yùn)營(yíng)的方方面面。由于篇幅所限，本文提及的工具、方法和措施只是軟件供應(yīng)鏈安全領(lǐng)域的滄海一粟，更多的還需要讀者在實(shí)踐中探尋。

如何獲取報(bào)告？

關(guān)注懸鏡安全服務(wù)號(hào)，后臺(tái)回復(fù)關(guān)鍵詞：軟件供應(yīng)鏈報(bào)告，即可下載

關(guān)于懸鏡安全

懸鏡安全，DevSecOps敏捷安全領(lǐng)導(dǎo)者。起源于北京大學(xué)網(wǎng)絡(luò)安全技術(shù)研究團(tuán)隊(duì)“XMIRROR”，創(chuàng)始人子芽。懸鏡專注于以代碼疫苗技術(shù)為內(nèi)核，通過原創(chuàng)專利級(jí)"全流程軟件供應(yīng)鏈安全賦能平臺(tái)+敏捷安全工具鏈”的第三代DevSecOps智適應(yīng)威脅管理體系，持續(xù)幫助金融、車聯(lián)網(wǎng)、泛互聯(lián)網(wǎng)、能源等行業(yè)用戶構(gòu)筑起適應(yīng)自身業(yè)務(wù)彈性發(fā)展、面向敏捷業(yè)務(wù)交付并引領(lǐng)未來架構(gòu)演進(jìn)的內(nèi)生積極防御體系。更多信息請(qǐng)?jiān)L問懸鏡安全官網(wǎng)：www.xmirror.cn

關(guān)于ISC

互聯(lián)網(wǎng)安全大會(huì)（簡(jiǎn)稱ISC），作為亞太地區(qū)乃至當(dāng)今世界規(guī)格高、輻射廣、影響力深遠(yuǎn)的全球性安全峰會(huì)，互聯(lián)網(wǎng)安全大會(huì)已連續(xù)舉辦九年，被譽(yù)為中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)名片、全球網(wǎng)絡(luò)安全行業(yè)風(fēng)向標(biāo)。大會(huì)舉辦九年來，大會(huì)已圍繞網(wǎng)絡(luò)空間治理、數(shù)據(jù)安全、威脅情報(bào)、物聯(lián)網(wǎng)安全等前沿領(lǐng)域安全問題，舉辦20余場(chǎng)國(guó)際峰會(huì)，設(shè)立超300場(chǎng)分論壇，輸出超2000個(gè)行業(yè)前沿議題。吸引來自中國(guó)、美國(guó)、俄羅斯、以色列、德國(guó)等全球30多個(gè)國(guó)家的2000余位政要、行業(yè)領(lǐng)袖、網(wǎng)絡(luò)安全專家深度參與，共話全球網(wǎng)絡(luò)安全生態(tài)。

關(guān)于中國(guó)電信研究院

中國(guó)電信股份有限公司研究院以機(jī)制創(chuàng)新、技術(shù)創(chuàng)新和管理創(chuàng)新為手段，堅(jiān)持人才至上、以人為本?原則，實(shí)施人性化管理，力爭(zhēng)短期內(nèi)在電信運(yùn)營(yíng)領(lǐng)域成為國(guó)際上比較知名、國(guó)內(nèi)有重要影響力的研發(fā)機(jī)構(gòu)。主要研究電信技術(shù)發(fā)展趨勢(shì)與戰(zhàn)略，研究技術(shù)發(fā)展政策，研究網(wǎng)絡(luò)、技術(shù)與業(yè)務(wù)發(fā)展規(guī)劃，研究技術(shù)體制和標(biāo)準(zhǔn)，負(fù)責(zé)新技術(shù)和新設(shè)備入網(wǎng)測(cè)試評(píng)估，進(jìn)行決策軟科學(xué)研究和發(fā)展研究，網(wǎng)絡(luò)管理?和業(yè)務(wù)管理等支撐系統(tǒng)的開發(fā)，應(yīng)用軟件?研究與系統(tǒng)集成?，開發(fā)電信新業(yè)務(wù)和增值業(yè)務(wù)等，為集團(tuán)公司和各省子公司提供決策支撐、技術(shù)支撐、信息支撐。?