2022年8月1日，由懸鏡安全、ISC、中國電信研究院共同編撰的《軟件供應鏈安全治理與運營白皮書（2022）》于ISC互聯網安全大會懸鏡出品的“軟件供應鏈安全治理與運營論壇”上正式發布。白皮書重點梳理了軟件供應鏈安全現狀和面臨的挑戰，闡述了軟件供應鏈安全治理體系和開源威脅治理方案，旨在幫助讀者加強軟件供應鏈安全意識，豐富治理思路。

圖1 《軟件供應鏈安全治理與運營白皮書（2022）》正式發布

Gartner分析指出，“到2025年，全球45%組織的軟件供應鏈將遭受攻擊，比2021年增加了三倍。”可見，軟件供應鏈的安全威脅將越來越嚴重。近年來，軟件供應鏈攻擊事件越來越多，如何進行此類威脅治理是眾多企業關注的重心。畢竟網絡安全關乎著企業是否正常運轉，是國民經濟能否正常運行的重要前提，而軟件供應鏈安全作為網絡安全的重要組成部分，是實現網絡安全的重要前提。

本白皮書在第一章介紹了軟件供應鏈安全的發展背景，從政策法規驅動和行業標準規范等維度，對軟件供應鏈的重要性進行了詳述；在軟件供應鏈安全現狀章節詳述了近年以來的軟件供應鏈安全相關事件，迄今為止算是比較詳細地將此類事件做了總結，并針對三個典型事件進行了剖析，通過系統性整理、分析和研究，歸納總結了軟件供應鏈風險的8項典型特征；同時延展了軟件供應鏈安全的風險。相較以往，對諸多內容都做了更充分的說明。詳細內容可自行查閱。

圖2 《軟件供應鏈安全治理與運營白皮書（2022）》目錄

軟件供應鏈安全治理體系

報告詳述了軟件供應鏈安全治理的常用框架，此外還構建了一套較為全面系統的軟件供應鏈安全治理體系，借助安全自動化工具，實現對軟件供應鏈全鏈路的安全風險治理。 

圖3 軟件供應鏈安全治理體系

開源威脅治理

Perforce的Open Source Initiative(OSI)和OpenLogic聯手開展了一項關于開源軟件狀態的全球調查，數據顯示，在過去12個月中，77%的受訪者在其組織中增加了對開源軟件的使用，36.5%的受訪者表示他們的使用量顯著增加。

也有數據顯示，有90%的組織都依賴于開源軟件，而且開源軟件也經常被嵌入到其他開源項目中。但是，盡管開源為企業的創新和快速發展提供了源動力，但與之而來的還有安全風險問題，為攻擊者提供了潛在的安全威脅入口點。

白皮書描述了開源軟件安全風險、開源威脅治理技術、開源威脅治理前提、開源威脅治理階段等內容，也從開源的SCA工具和商業化的SCA工具兩個維度為讀者介紹了代表性的SCA工具，讓讀者對各工具有更深入的了解，還包含以下開源SCA工具對比表，更詳細的對比項請查看白皮書。

圖4 開源SCA工具對比 

不管是國內還是國外的應用安全廠商，都有自己成熟的AST工具鏈、甚至還有平臺和服務體系，也衍生了更豐富的工具布局和規劃設計，以適應云原生、物聯網、產業互聯網等不同應用場景的需求。在開源治理中，企業應該選擇具有怎樣能力的商業化SCA工具，白皮書也做了詳細介紹。

最后

科技的發展讓社會協作變得更加高頻和具有深度，在信息技術行業亦是如此。我們自己的業務系統會集成第三方的代碼、使用第三方提供的開發環境、應用第三方生產的構建工具、運行在第三方開發的微服務和容器之上，這種深度協作方式讓我們的業務生產和運營效率指數級提升，但同時帶來的，也有軟件供應鏈風險史無前例的增長。

SolarWinds Orion事件讓人們見識了供應鏈攻擊能做到什么，Apache Log4j2漏洞讓人們了解了開源代碼的千瘡百孔，Equifax信息泄露事件讓人們知道了大型企業的安全建設在軟件供應鏈安全漏洞前是多么的脆弱不堪。這一切，促成了我們對本報告的編撰工作，我們希望用系統性的思維和方式，收集、分析、整理、闡述軟件供應鏈安全治理與運營的方方面面。由于篇幅所限，本文提及的工具、方法和措施只是軟件供應鏈安全領域的滄海一粟，更多的還需要讀者在實踐中探尋。

如何獲取報告？

關注懸鏡安全服務號，后臺回復關鍵詞：軟件供應鏈報告，即可下載

關于懸鏡安全

懸鏡安全，DevSecOps敏捷安全領導者。起源于北京大學網絡安全技術研究團隊“XMIRROR”，創始人子芽。懸鏡專注于以代碼疫苗技術為內核，通過原創專利級"全流程軟件供應鏈安全賦能平臺+敏捷安全工具鏈”的第三代DevSecOps智適應威脅管理體系，持續幫助金融、車聯網、泛互聯網、能源等行業用戶構筑起適應自身業務彈性發展、面向敏捷業務交付并引領未來架構演進的內生積極防御體系。更多信息請訪問懸鏡安全官網：www.xmirror.cn

關于ISC

互聯網安全大會（簡稱ISC），作為亞太地區乃至當今世界規格高、輻射廣、影響力深遠的全球性安全峰會，互聯網安全大會已連續舉辦九年，被譽為中國網絡安全產業名片、全球網絡安全行業風向標。大會舉辦九年來，大會已圍繞網絡空間治理、數據安全、威脅情報、物聯網安全等前沿領域安全問題，舉辦20余場國際峰會，設立超300場分論壇，輸出超2000個行業前沿議題。吸引來自中國、美國、俄羅斯、以色列、德國等全球30多個國家的2000余位政要、行業領袖、網絡安全專家深度參與，共話全球網絡安全生態。

關于中國電信研究院

中國電信股份有限公司研究院以機制創新、技術創新和管理創新為手段，堅持人才至上、以人為本?原則，實施人性化管理，力爭短期內在電信運營領域成為國際上比較知名、國內有重要影響力的研發機構。主要研究電信技術發展趨勢與戰略，研究技術發展政策，研究網絡、技術與業務發展規劃，研究技術體制和標準，負責新技術和新設備入網測試評估，進行決策軟科學研究和發展研究，網絡管理?和業務管理等支撐系統的開發，應用軟件?研究與系統集成?，開發電信新業務和增值業務等，為集團公司和各省子公司提供決策支撐、技術支撐、信息支撐。?