國內(nèi)領(lǐng)先的DevSecOps敏捷安全廠商懸鏡安全，聯(lián)合中國信息通信研究院（以下簡稱“中國信通院”）正式發(fā)布了《2021軟件供應(yīng)鏈安全白皮書》。這份重量級報(bào)告的發(fā)布，正值全球范圍內(nèi)對軟件供應(yīng)鏈安全關(guān)注度空前高漲之際，旨在系統(tǒng)性地剖析軟件供應(yīng)鏈安全面臨的嚴(yán)峻挑戰(zhàn)，梳理關(guān)鍵風(fēng)險(xiǎn)環(huán)節(jié)，并為我國網(wǎng)絡(luò)與信息安全軟件開發(fā)的健康、可持續(xù)發(fā)展提供前瞻性的實(shí)踐指南與戰(zhàn)略思考。

隨著數(shù)字化進(jìn)程的深入，軟件已成為支撐社會運(yùn)轉(zhuǎn)的核心組件，其開發(fā)模式也從傳統(tǒng)的封閉、內(nèi)聚轉(zhuǎn)向開放、協(xié)作的供應(yīng)鏈模式。開源軟件的廣泛應(yīng)用、第三方組件的深度集成、外包開發(fā)的普遍化，在提升開發(fā)效率、加速創(chuàng)新的也使得軟件供應(yīng)鏈變得異常復(fù)雜和脆弱。從影響深遠(yuǎn)的SolarWinds事件到Log4j2漏洞的全球性危機(jī)，一系列重大安全事件不斷敲響警鐘：攻擊者正越來越多地將軟件供應(yīng)鏈作為滲透關(guān)鍵基礎(chǔ)設(shè)施、竊取核心數(shù)據(jù)的“捷徑”，軟件供應(yīng)鏈安全已成為關(guān)乎國家網(wǎng)絡(luò)安全、數(shù)字經(jīng)濟(jì)穩(wěn)定乃至社會公共安全的戰(zhàn)略性問題。

在此背景下，懸鏡安全與中國信通院的此次合作具有重要的現(xiàn)實(shí)意義和行業(yè)引領(lǐng)價(jià)值。《2021軟件供應(yīng)鏈安全白皮書》系統(tǒng)性地構(gòu)建了軟件供應(yīng)鏈安全的分析框架。報(bào)告首先明確了軟件供應(yīng)鏈的定義與范圍，涵蓋了從上游開源項(xiàng)目、商業(yè)SDK、第三方組件，到開發(fā)、集成、交付、部署、運(yùn)維的全生命周期。白皮書深入識別了供應(yīng)鏈各環(huán)節(jié)的典型安全風(fēng)險(xiǎn)，例如：上游開源項(xiàng)目被投毒、第三方組件存在已知或未知漏洞、開發(fā)工具鏈被篡改、軟件分發(fā)渠道被劫持、以及軟件更新機(jī)制被濫用等。

報(bào)告不僅指出了問題，更著重于提供解決方案。它結(jié)合懸鏡安全在DevSecOps和軟件供應(yīng)鏈安全領(lǐng)域的深厚技術(shù)積累與豐富實(shí)踐案例，以及中國信通院在產(chǎn)業(yè)政策、標(biāo)準(zhǔn)制定方面的權(quán)威研究，提出了一套覆蓋“事前、事中、事后”的軟件供應(yīng)鏈安全治理體系。該體系強(qiáng)調(diào)安全左移，倡導(dǎo)將安全能力深度嵌入到軟件開發(fā)的每一個(gè)環(huán)節(jié)（DevSecOps），通過源代碼安全檢測、軟件成分分析（SCA）、依賴項(xiàng)漏洞管理、制品安全掃描、動態(tài)應(yīng)用安全測試等手段，實(shí)現(xiàn)對供應(yīng)鏈風(fēng)險(xiǎn)的持續(xù)監(jiān)控與閉環(huán)管理。

白皮書還對網(wǎng)絡(luò)與信息安全軟件的開發(fā)提出了特別關(guān)注。作為保衛(wèi)網(wǎng)絡(luò)空間安全的“武器”，安全軟件自身的安全性更是重中之重。報(bào)告建議，安全軟件開發(fā)企業(yè)應(yīng)率先垂范，建立高于行業(yè)標(biāo)準(zhǔn)的內(nèi)生安全開發(fā)流程與供應(yīng)鏈安全管理規(guī)范，確保自身產(chǎn)品的可信可靠，從而筑牢整個(gè)網(wǎng)絡(luò)安全防線的基石。

本次白皮書的發(fā)布，是產(chǎn)業(yè)界與國家級研究機(jī)構(gòu)通力合作的典范。它不僅為各行業(yè)組織，尤其是金融、能源、電信、政務(wù)等關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者，提供了可落地的安全實(shí)踐參考，也為監(jiān)管部門完善相關(guān)標(biāo)準(zhǔn)與政策提供了有力的智庫支持。懸鏡安全表示將繼續(xù)攜手中國信通院及產(chǎn)業(yè)伙伴，持續(xù)深化在軟件供應(yīng)鏈安全領(lǐng)域的技術(shù)創(chuàng)新與生態(tài)建設(shè)，共同推動安全能力與軟件開發(fā)流程的深度融合，助力我國在全球軟件供應(yīng)鏈安全新格局中構(gòu)建起自主可控的堅(jiān)實(shí)基礎(chǔ)，為數(shù)字中國的建設(shè)保駕護(hù)航。