政府行业软件供应链安全治理的探索与实践

近年来，全球软件供应链安全事件频发，影响面也越来越大，软件供应链安全已成为网络空间攻防对抗的焦点，并且直接影响到关键基础设施和数字经济的安全。如 2017 年的 NotPetya 攻击，该攻击使银行、商业、公用事业和物流瘫痪，在全球造成数十亿美元的损失。2020 年全球著名的管理软件供应商 SolarWinds 遭遇国家级 APT 团伙高度复杂的供应链攻击，导致包括美国关键基础设施、军队、政府等在内的超过 18000 家客户全部受到影响，破坏性极大。

01 政府行业软件供应链安全现状

政府行业软件供应链安全治理，近几年成为业界关注的焦点。一是由于数字化转型趋势下，软件架构复杂性增加，外部引入成分占比增加，供应链中断风险增加；二是由于缺乏全面有效的安全评估和防护措施，各个环节均存在被攻击者利用漏洞或恶意代码进行篡改或破坏的可能，导致组件漏洞和供应链投毒事件频发；三是由于多种开源许可协议之间存在不兼容性和冲突性，违反许可证条款将可能面临知识产权纠纷和法律责任。

近年来，国家层面高度重视软件供应链安全问题，不断建立健全相关法律法规、标准制度，政府行业面临日益严峻的合规性压力。例如，《网络安全法》《电子商务法》《电子签名法》《计算机信息网络国际联网管理暂行规定》等相关法律法规对网络产品、服务提供者提出了明确要求；《信息技术服务外包管理办法》《关键信息基础设施安全保护条例》等相关文件对信息技术服务外包、关键信息基础设施保护等方面进行了规范。

值得一提的是，相较于等保2.0，《GB/T39204-2022信息安全技术 关键信息基础设施安全保护要求》对关基提出了更高的软件供应链安全保护要求：一是在供应商选择时，应注意防范非技术因素导致产品和服务供应中断风险；二是验收时应对软件进行源代码层面的安全检测；三是关基单位应要求产品和服务提供者对设计、研发、生产、交付等关键环节加强安全管理。

目前，监管机构在软件供应链安全的检查趋于事前安全、过程安全和内在安全：一是以查带评明确软件供应商软件生产过程各个生命周期的安全要求；二是针对内部开发过程安全投毒，重点评估开发基础设施的安全配置和审计能力；三是加大对软件产品内在组件漏洞、自研比、成分的评分权重。

默安科技的政府行业软件供应链安全治理解决方案在以上现状与背景之下应运而生。

02 政府行业软件供应链安全治理解决方案

政府行业的软件开发特点是基本为外包，并且政府单位不具备代码层面的安全验收能力，因此政府信息安全管理中心、省市大数据局等安全监管能力的单位会承担软件供应链安全准入的监管职责。

政府行业主管侧，默安科技的软件供应链安全治理方案通过行业软件供应链安全风险可视化，梳理高频、核心组件清单为下一步治理建立基础；通过将项目成果转化成地方标准，配合全面的软件供应链安全风险评估活动，快速在行业内推广软件供应链安全最佳实践，推动行业软件代码安全水平提升。

政府单位侧，默安科技提供软件供应链安全的检测方案，包括评估标准的制定和技术服务的落地，从安全机制、软件成分、软件安全性、SBOM、安全责任、应急响应等六大评估维度，对供应商开展软件供应链安全风险评估，政府单位依据评估结果，一是优化原有的供应商准入标准，二是建立供应商准入黑白名单。以此帮助政府单位了解供应商真实安全开发能力，为选择软件供应商提供依据，为管控软件供应商开发安全过程提供抓手，为交付阶段软件代码层面的安全验收提供技术手段，帮助政府单位提升软件供应链安全管理水平。

供给侧，默安科技的软件供应链安全治理方案通过建立事前安全咨询、事中安全检测、事后安全分析的面向供应商的安全服务流程，帮助供应商逐步建立开发安全体系，通过项目实践培养供应商开发安全意识，利用SaaS服务为供应商开发安全赋能。

事前安全咨询服务

开放共享门户提供安全知识科普、安全意识培训教育、开源组件入网咨询等能力支撑。

事中安全检测服务

通过共享门户提供组件依赖、组件漏洞、组件开源许可证、应用漏洞、基础服务漏洞、第三方云服务的检测能力。

事后安全分析服务

通过共享门户提供软件供应链风险和漏洞分析，辅助整改。

图 默安科技政府行业软件供应链安全治理解决方案

03 方案优势与价值

整体提升区域软件安全态势透明度

以合规检查为技术手段，通过对合作单位源数据有效采集，结合自建开源组件库、合规检查库、安全检查库对目标进行安全扫描评估，自建立安全维度、资产维度，构建区域级软件供应商安全画像。

面向软件供应商的事前、事中、事后服务

建立事前入网咨询检查、事中安全检测、事后安全分析的面向合作单位安全服务流程。

事前：面向软件供应商提供开源组件许可证安全、漏洞安全、入网评估平台级安全咨询服务，协助及时掌握组件安全信息，为上游安全设计提供数据决策分析支撑。

事中：提供开源组件、代码审计、资产合规/安全的SBOM透视能力，使得软件供应商在供需关系和研发活动中有效且明确地掌握自身研发活动/产品的安全性。

事后：通过软件供应链安全评估活动（软件供应商 开源组件 资产安全 应急响应及追溯），综合分析软件供应商的一次性的外显安全能力，提供客观追溯安全问题的数据支撑。

构建区域内可信赖的软件供应链业务模型

对软件供应商安全开发活动、软件成分分析、安全风险监控、次级供应商安全管理和安全制度规范管理进行综合评估，促使在整个业务闭环中建立准入登记机制、黑白名单机制，从而提升供需关系信赖度。

构建区域级的软件供应链安全评估体系

以软件供应链安全国家、行业标准为整体框架和评估业务指导，结合区域技术栈特色，供应链采购关系业务特色与框架指标相融合取长补短，形成统一的、整体的信息安全管理中心评估指标，在评估过程中进一步完善评估业务规范，相辅相成地输出区域级的软件供应链安全评估体系。

近期，工信部信息通信软件供应链安全社区公布了2022年“软件供应链优秀成果案例”名单，默安科技政府行业软件供应链安全治理解决方案成功入选“优秀治理实践成果”，这是业界对默安科技在软件供应链安全领域实践成果的高度认可。

在软件供应链安全领域，默安科技获多项荣誉：基于漏洞管理平台的软件供应链安全治理体系获“中国信通院2022安全守卫者计划优秀案例”；供应链安全治理方案获“中国信通院研运质效典范标杆案例”；软件供应链安全治理方案获“中国网络安全产业联盟（CCIA）2022网络安全创新成果大赛入围奖”；默安科技作为首批成员单位加入中国信通院软件供应链安全实验室（3S-Lab）和信息通信软件供应链安全社区，积极参与软件供应链安全标准、治理等相关研究及探索实践。

相较于其它监管的检查模式，默安科技政府行业软件供应链安全治理解决方案，以安全服务和技术赋能为主，助力各地政府监管部门摸清区域内政务软件供应商开发安全水平和软件制品内在透明度，提供软件供应商安全评价指数，实现管理模式的积极创新。方案通过评估的形式提供安全咨询，通过门户面向软件供应商开放技术检测能力，监管与被监管方变对抗为合作共建，政府行业主管、政府单位、软件供应商均能收获良好成果。