近日，由云计算开源产业联盟指导、默安科技主办的逐鹿安全沙龙圆满落幕，四位行业大咖齐聚一堂，共同探讨云原生时代下的软件供应链安全治理。

一、软件供应链呈现的态势

中国信通院云大所云计算部副主任郭雪进行开场致辞，指出软件供应链在政策法规、标准化建设、市场趋势、企业自身业务安全需求四个方面的态势。

目前很多法律法规，例如《关键信息基础设施安全保护条例》、《网络安全审查办法》等都有涉及对软件供应链的安全要求；同时针对软件供应链的国标、行标在不断制定和完善；软件供应链成为各行业的重要一环，其市场规模不断扩大；金融、运营商、能源、汽车等多个重点领域的企业基于自身业务和安全需求，也在积极探索软件供应链的实践落地，形成了一定的能力储备。

整体而言，软件供应链的发展还处于初期，随着技术快速更新迭代，制度仍待完善、安全治理效果仍待提升。为此，信通院联合默安科技在内的多家企业积极制定软件供应链安全标准体系，为企业软件供应链安全建设工作，包括量化评价、工具选型等方面提供参考，全力推动软件供应链安全产业的发展。

二、软件供应链安全标准体系建设

中国信通院云大所云计算部工程师吴江伟对软件供应链安全标准体系建设情况进行了介绍。信通院以安全开发为切入点推进软件供应链安全相关工作，制定了可信研发运营安全能力成熟度模型，重点阐述安全体系如何落地；研运安全工具标准体系，建立软件供应链相关工具的功能与性能指标；软件供应链安全保障基本要求，从多个维度进行软件供应链安全保障能力规范，搭建软件供应链安全模型。

图 软件供应链安全标准体系逐步完善

后续，信通院将组织筹备软件供应链安全实验室及联盟组织，凝聚产业共识，持续推进软件物料清单、实时应用程序自我保护、研发运营安全平台、产品安全基线标准等方面技术、框架的相关研究，不断完善软件供应链安全标准体系。

三、安全漏洞为什么越修越多？

软件供应链安全本质上是一场与漏洞的博弈，一个严重的漏洞会对整个数字社会及软件供应链安全生态带来无法估量的影响。国内知名安全专家郑歆炜介绍，传统的企业安全，安全视线主要在自身， 比如资产管理集中服务器网络等硬件，而现在的企业安全由于云上设施及各种IT基础设施的加入，代码安全范围在扩大，资产定义不仅有硬件，还有软件。而在这样的情况下，漏洞从未减少过，只是未能被察觉，或者被当成“黑匣子”忽略，从而导致安全漏洞越修越多。

如何解决这一问题？郑歆炜指出，关键要进行包括资产管理、人员建设、提前防御在内的各方面能力建设。需要全面梳理资产，保证信息可靠有效；建立完善的运营体制，加强安全人才的建设；通过部署有效的安全设备，建设未知漏洞防御体系，不断进行最新安全漏洞的研究。

图 提升安全能力建设

四、软件供应链下的安全治理之路

作为国内攻防对抗及开发安全领域的先行者，默安科技在服务多个行业众多客户的实践中积累了不少实战经验，形成了完整的软件供应链安全治理思路。默安科技首席安全开发架构师薛明伟对此进行了分享。

对于软件供应链的安全治理，可以从软件供应链业务流程的三个环节入手：

供应链引入环节

重点在安全需求前置、供应商管控、安全交付验收等方面采取措施，提前明确软件供应链风险，选用工具时应考虑自动化程度、检测范围等因素；将安全开发能力评估纳入软件供应商考核范围；根据安全需求对交付的商业软件做安全验收检查，确保提供软件与承诺相符，建立软件组件资产清单，提升测试人员安全意识。

软件生产环节

需要建立完整的开发安全体系，重点加强安全需求分析（配合默安雳鉴STAC威胁建模分析系统）、三方组件管理（配合默安雳鉴SCA软件成分分析系统）、白盒静态检测、IAST动态交互式检测（配合默安雳鉴IAST交互式应用安全检测系统）等方面的能力。通过工具＋服务的方式，实现开发安全全流程平台+应用安全测试编排+生产漏洞应急+检测规则反哺优化为一体的DevSecOps体系。

图 开发安全体系建设

软件应用环节

重点建立一般环境下安全监测、处置能力（配合默安剑幕主机安全检测系统和巡哨智能资产风险监控系统），以及云环境下的安全监测、处置能力（配合默安尚付CNAPP云原生保护平台），深度挖掘主机层安全问题，加固主机确保上线环境的持续安全，针对云环境进行上线安全检测，帮助客户实时掌握业务环境中容器资产间的网络互访关系，持续监控安全风险，及时发现并处置突发事件。

总而言之，对于软件供应链的安全治理，不论是自行研发还是外包开发，都涉及了大量部门和人员，需参照一套科学的方法，拉通软件供应链各环节的协作。同时，要遵循原有的业务规范和习惯，以寻找最符合本单位实际情况的落地路径。通过明确治理的边界，使团队将治理的重点聚焦到关键业务和风险点上。

本次逐鹿安全沙龙线上直播反响热烈，多名观众积极提问，几位嘉宾有问必答，各方共同对软件供应链进行了深入的交流。未来，默安科技还将不断思考和创新，通过多举办此类活动，与更多行业代表一起对软件供应链安全展开更有价值的探讨。

直播PPT：在默安科技公众号后台发送“软件供应链安全”获取本次逐鹿安全沙龙全部演讲PPT。