國(guó)內(nèi)領(lǐng)先的DevSecOps敏捷安全廠商懸鏡安全，聯(lián)合中國(guó)信息通信研究院（以下簡(jiǎn)稱(chēng)“中國(guó)信通院”）正式發(fā)布了《2021軟件供應(yīng)鏈安全白皮書(shū)》。這份重量級(jí)報(bào)告的發(fā)布，正值全球范圍內(nèi)對(duì)軟件供應(yīng)鏈安全關(guān)注度空前高漲之際，旨在系統(tǒng)性地剖析軟件供應(yīng)鏈安全面臨的嚴(yán)峻挑戰(zhàn)，梳理關(guān)鍵風(fēng)險(xiǎn)環(huán)節(jié)，并為我國(guó)網(wǎng)絡(luò)與信息安全軟件開(kāi)發(fā)的健康、可持續(xù)發(fā)展提供前瞻性的實(shí)踐指南與戰(zhàn)略思考。

隨著數(shù)字化進(jìn)程的深入，軟件已成為支撐社會(huì)運(yùn)轉(zhuǎn)的核心組件，其開(kāi)發(fā)模式也從傳統(tǒng)的封閉、內(nèi)聚轉(zhuǎn)向開(kāi)放、協(xié)作的供應(yīng)鏈模式。開(kāi)源軟件的廣泛應(yīng)用、第三方組件的深度集成、外包開(kāi)發(fā)的普遍化，在提升開(kāi)發(fā)效率、加速創(chuàng)新的也使得軟件供應(yīng)鏈變得異常復(fù)雜和脆弱。從影響深遠(yuǎn)的SolarWinds事件到Log4j2漏洞的全球性危機(jī)，一系列重大安全事件不斷敲響警鐘：攻擊者正越來(lái)越多地將軟件供應(yīng)鏈作為滲透關(guān)鍵基礎(chǔ)設(shè)施、竊取核心數(shù)據(jù)的“捷徑”，軟件供應(yīng)鏈安全已成為關(guān)乎國(guó)家網(wǎng)絡(luò)安全、數(shù)字經(jīng)濟(jì)穩(wěn)定乃至社會(huì)公共安全的戰(zhàn)略性問(wèn)題。

在此背景下，懸鏡安全與中國(guó)信通院的此次合作具有重要的現(xiàn)實(shí)意義和行業(yè)引領(lǐng)價(jià)值。《2021軟件供應(yīng)鏈安全白皮書(shū)》系統(tǒng)性地構(gòu)建了軟件供應(yīng)鏈安全的分析框架。報(bào)告首先明確了軟件供應(yīng)鏈的定義與范圍，涵蓋了從上游開(kāi)源項(xiàng)目、商業(yè)SDK、第三方組件，到開(kāi)發(fā)、集成、交付、部署、運(yùn)維的全生命周期。白皮書(shū)深入識(shí)別了供應(yīng)鏈各環(huán)節(jié)的典型安全風(fēng)險(xiǎn)，例如：上游開(kāi)源項(xiàng)目被投毒、第三方組件存在已知或未知漏洞、開(kāi)發(fā)工具鏈被篡改、軟件分發(fā)渠道被劫持、以及軟件更新機(jī)制被濫用等。

報(bào)告不僅指出了問(wèn)題，更著重于提供解決方案。它結(jié)合懸鏡安全在DevSecOps和軟件供應(yīng)鏈安全領(lǐng)域的深厚技術(shù)積累與豐富實(shí)踐案例，以及中國(guó)信通院在產(chǎn)業(yè)政策、標(biāo)準(zhǔn)制定方面的權(quán)威研究，提出了一套覆蓋“事前、事中、事后”的軟件供應(yīng)鏈安全治理體系。該體系強(qiáng)調(diào)安全左移，倡導(dǎo)將安全能力深度嵌入到軟件開(kāi)發(fā)的每一個(gè)環(huán)節(jié)（DevSecOps），通過(guò)源代碼安全檢測(cè)、軟件成分分析（SCA）、依賴(lài)項(xiàng)漏洞管理、制品安全掃描、動(dòng)態(tài)應(yīng)用安全測(cè)試等手段，實(shí)現(xiàn)對(duì)供應(yīng)鏈風(fēng)險(xiǎn)的持續(xù)監(jiān)控與閉環(huán)管理。

白皮書(shū)還對(duì)網(wǎng)絡(luò)與信息安全軟件的開(kāi)發(fā)提出了特別關(guān)注。作為保衛(wèi)網(wǎng)絡(luò)空間安全的“武器”，安全軟件自身的安全性更是重中之重。報(bào)告建議，安全軟件開(kāi)發(fā)企業(yè)應(yīng)率先垂范，建立高于行業(yè)標(biāo)準(zhǔn)的內(nèi)生安全開(kāi)發(fā)流程與供應(yīng)鏈安全管理規(guī)范，確保自身產(chǎn)品的可信可靠，從而筑牢整個(gè)網(wǎng)絡(luò)安全防線(xiàn)的基石。

本次白皮書(shū)的發(fā)布，是產(chǎn)業(yè)界與國(guó)家級(jí)研究機(jī)構(gòu)通力合作的典范。它不僅為各行業(yè)組織，尤其是金融、能源、電信、政務(wù)等關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者，提供了可落地的安全實(shí)踐參考，也為監(jiān)管部門(mén)完善相關(guān)標(biāo)準(zhǔn)與政策提供了有力的智庫(kù)支持。懸鏡安全表示將繼續(xù)攜手中國(guó)信通院及產(chǎn)業(yè)伙伴，持續(xù)深化在軟件供應(yīng)鏈安全領(lǐng)域的技術(shù)創(chuàng)新與生態(tài)建設(shè)，共同推動(dòng)安全能力與軟件開(kāi)發(fā)流程的深度融合，助力我國(guó)在全球軟件供應(yīng)鏈安全新格局中構(gòu)建起自主可控的堅(jiān)實(shí)基礎(chǔ)，為數(shù)字中國(guó)的建設(shè)保駕護(hù)航。