2022年8月1日，由懸鏡安全、ISC、中國電信研究院共同編撰的《軟件供應(yīng)鏈安全治理與運營白皮書（2022）》于ISC互聯(lián)網(wǎng)安全大會懸鏡出品的“軟件供應(yīng)鏈安全治理與運營論壇”上正式發(fā)布。白皮書重點梳理了軟件供應(yīng)鏈安全現(xiàn)狀和面臨的挑戰(zhàn)，闡述了軟件供應(yīng)鏈安全治理體系和開源威脅治理方案，旨在幫助讀者加強軟件供應(yīng)鏈安全意識，豐富治理思路。

圖1 《軟件供應(yīng)鏈安全治理與運營白皮書（2022）》正式發(fā)布

Gartner分析指出，“到2025年，全球45%組織的軟件供應(yīng)鏈將遭受攻擊，比2021年增加了三倍?！笨梢?，軟件供應(yīng)鏈的安全威脅將越來越嚴重。近年來，軟件供應(yīng)鏈攻擊事件越來越多，如何進行此類威脅治理是眾多企業(yè)關(guān)注的重心。畢竟網(wǎng)絡(luò)安全關(guān)乎著企業(yè)是否正常運轉(zhuǎn)，是國民經(jīng)濟能否正常運行的重要前提，而軟件供應(yīng)鏈安全作為網(wǎng)絡(luò)安全的重要組成部分，是實現(xiàn)網(wǎng)絡(luò)安全的重要前提。

本白皮書在第一章介紹了軟件供應(yīng)鏈安全的發(fā)展背景，從政策法規(guī)驅(qū)動和行業(yè)標準規(guī)范等維度，對軟件供應(yīng)鏈的重要性進行了詳述；在軟件供應(yīng)鏈安全現(xiàn)狀章節(jié)詳述了近年以來的軟件供應(yīng)鏈安全相關(guān)事件，迄今為止算是比較詳細地將此類事件做了總結(jié)，并針對三個典型事件進行了剖析，通過系統(tǒng)性整理、分析和研究，歸納總結(jié)了軟件供應(yīng)鏈風險的8項典型特征；同時延展了軟件供應(yīng)鏈安全的風險。相較以往，對諸多內(nèi)容都做了更充分的說明。詳細內(nèi)容可自行查閱。

圖2 《軟件供應(yīng)鏈安全治理與運營白皮書（2022）》目錄

軟件供應(yīng)鏈安全治理體系

報告詳述了軟件供應(yīng)鏈安全治理的常用框架，此外還構(gòu)建了一套較為全面系統(tǒng)的軟件供應(yīng)鏈安全治理體系，借助安全自動化工具，實現(xiàn)對軟件供應(yīng)鏈全鏈路的安全風險治理。 

圖3 軟件供應(yīng)鏈安全治理體系

開源威脅治理

Perforce的Open Source Initiative(OSI)和OpenLogic聯(lián)手開展了一項關(guān)于開源軟件狀態(tài)的全球調(diào)查，數(shù)據(jù)顯示，在過去12個月中，77%的受訪者在其組織中增加了對開源軟件的使用，36.5%的受訪者表示他們的使用量顯著增加。

也有數(shù)據(jù)顯示，有90%的組織都依賴于開源軟件，而且開源軟件也經(jīng)常被嵌入到其他開源項目中。但是，盡管開源為企業(yè)的創(chuàng)新和快速發(fā)展提供了源動力，但與之而來的還有安全風險問題，為攻擊者提供了潛在的安全威脅入口點。

白皮書描述了開源軟件安全風險、開源威脅治理技術(shù)、開源威脅治理前提、開源威脅治理階段等內(nèi)容，也從開源的SCA工具和商業(yè)化的SCA工具兩個維度為讀者介紹了代表性的SCA工具，讓讀者對各工具有更深入的了解，還包含以下開源SCA工具對比表，更詳細的對比項請查看白皮書。

圖4 開源SCA工具對比 

不管是國內(nèi)還是國外的應(yīng)用安全廠商，都有自己成熟的AST工具鏈、甚至還有平臺和服務(wù)體系，也衍生了更豐富的工具布局和規(guī)劃設(shè)計，以適應(yīng)云原生、物聯(lián)網(wǎng)、產(chǎn)業(yè)互聯(lián)網(wǎng)等不同應(yīng)用場景的需求。在開源治理中，企業(yè)應(yīng)該選擇具有怎樣能力的商業(yè)化SCA工具，白皮書也做了詳細介紹。

最后

科技的發(fā)展讓社會協(xié)作變得更加高頻和具有深度，在信息技術(shù)行業(yè)亦是如此。我們自己的業(yè)務(wù)系統(tǒng)會集成第三方的代碼、使用第三方提供的開發(fā)環(huán)境、應(yīng)用第三方生產(chǎn)的構(gòu)建工具、運行在第三方開發(fā)的微服務(wù)和容器之上，這種深度協(xié)作方式讓我們的業(yè)務(wù)生產(chǎn)和運營效率指數(shù)級提升，但同時帶來的，也有軟件供應(yīng)鏈風險史無前例的增長。

SolarWinds Orion事件讓人們見識了供應(yīng)鏈攻擊能做到什么，Apache Log4j2漏洞讓人們了解了開源代碼的千瘡百孔，Equifax信息泄露事件讓人們知道了大型企業(yè)的安全建設(shè)在軟件供應(yīng)鏈安全漏洞前是多么的脆弱不堪。這一切，促成了我們對本報告的編撰工作，我們希望用系統(tǒng)性的思維和方式，收集、分析、整理、闡述軟件供應(yīng)鏈安全治理與運營的方方面面。由于篇幅所限，本文提及的工具、方法和措施只是軟件供應(yīng)鏈安全領(lǐng)域的滄海一粟，更多的還需要讀者在實踐中探尋。

如何獲取報告？

關(guān)注懸鏡安全服務(wù)號，后臺回復關(guān)鍵詞：軟件供應(yīng)鏈報告，即可下載

關(guān)于懸鏡安全

懸鏡安全，DevSecOps敏捷安全領(lǐng)導者。起源于北京大學網(wǎng)絡(luò)安全技術(shù)研究團隊“XMIRROR”，創(chuàng)始人子芽。懸鏡專注于以代碼疫苗技術(shù)為內(nèi)核，通過原創(chuàng)專利級"全流程軟件供應(yīng)鏈安全賦能平臺+敏捷安全工具鏈”的第三代DevSecOps智適應(yīng)威脅管理體系，持續(xù)幫助金融、車聯(lián)網(wǎng)、泛互聯(lián)網(wǎng)、能源等行業(yè)用戶構(gòu)筑起適應(yīng)自身業(yè)務(wù)彈性發(fā)展、面向敏捷業(yè)務(wù)交付并引領(lǐng)未來架構(gòu)演進的內(nèi)生積極防御體系。更多信息請訪問懸鏡安全官網(wǎng)：www.xmirror.cn

關(guān)于ISC

互聯(lián)網(wǎng)安全大會（簡稱ISC），作為亞太地區(qū)乃至當今世界規(guī)格高、輻射廣、影響力深遠的全球性安全峰會，互聯(lián)網(wǎng)安全大會已連續(xù)舉辦九年，被譽為中國網(wǎng)絡(luò)安全產(chǎn)業(yè)名片、全球網(wǎng)絡(luò)安全行業(yè)風向標。大會舉辦九年來，大會已圍繞網(wǎng)絡(luò)空間治理、數(shù)據(jù)安全、威脅情報、物聯(lián)網(wǎng)安全等前沿領(lǐng)域安全問題，舉辦20余場國際峰會，設(shè)立超300場分論壇，輸出超2000個行業(yè)前沿議題。吸引來自中國、美國、俄羅斯、以色列、德國等全球30多個國家的2000余位政要、行業(yè)領(lǐng)袖、網(wǎng)絡(luò)安全專家深度參與，共話全球網(wǎng)絡(luò)安全生態(tài)。

關(guān)于中國電信研究院

中國電信股份有限公司研究院以機制創(chuàng)新、技術(shù)創(chuàng)新和管理創(chuàng)新為手段，堅持人才至上、以人為本?原則，實施人性化管理，力爭短期內(nèi)在電信運營領(lǐng)域成為國際上比較知名、國內(nèi)有重要影響力的研發(fā)機構(gòu)。主要研究電信技術(shù)發(fā)展趨勢與戰(zhàn)略，研究技術(shù)發(fā)展政策，研究網(wǎng)絡(luò)、技術(shù)與業(yè)務(wù)發(fā)展規(guī)劃，研究技術(shù)體制和標準，負責新技術(shù)和新設(shè)備入網(wǎng)測試評估，進行決策軟科學研究和發(fā)展研究，網(wǎng)絡(luò)管理?和業(yè)務(wù)管理等支撐系統(tǒng)的開發(fā)，應(yīng)用軟件?研究與系統(tǒng)集成?，開發(fā)電信新業(yè)務(wù)和增值業(yè)務(wù)等，為集團公司和各省子公司提供決策支撐、技術(shù)支撐、信息支撐。?