首页

，在由绿盟科技主办，2022中国网络空间新技术安全创新论坛——云安全分论坛事实上，绿盟科技正式发布了《软件供应链安全技术白皮书》。

白皮书指出，信息通信技术产业链承担着中国工业从工业化向数字化转型升级的重要任务作为ICT供应链的重要组成部分，软件供应链是各类关键信息基础设施顺利运行的基础生命周期中关键环节的安全性和可控性，如其关键组件的设计，开发，部署，监控和持续运行，已经成为网络安全的关键考虑因素

在本次大会上，绿联科技集团天元实验室高级研究员陈静发表了演讲她表示，从近几年的软件供应链攻击事件来看，开源社区，公共开源存储仓库等开源软件的生态入侵较为严重因此，需要从监管层面加强供应链产品安全认证管理，提供企业软件SBOM托管和可信认证服务企业还需要完善供应链资产管理和安全检查，借助SBOM知识图谱理清企业的供应链依赖，才能从容应对预警

同时，为了应对软件供应链的威胁，上游企业需要建立自己产品的软件组件清单，对软件供应链的信息进行梳理，为下游企业和用户清晰透明地管理软件供应链提供基础条件根据被识别构件的粒度，软件构件列表可以分为不透明，微透明，半透明和透明阶段一个高度透明的软件组件列表可以显著提高最终用户对软件供应链安全评估的准确性

此外，陈静进一步阐述了企业供应链上下游之间的关系她表示，在软件开发生命周期中，开发阶段漏洞的引入不仅仅是在代码编写阶段，还包括依赖的开源组件，开发和构建工具等根据软件开发和构建过程，企业需要构建开发过程安全评估能力在软件交付阶段，作为供应商，除了保证交付软件的安全性外，还应该向下游企业交付软件组件清单，使整个软件供应链的上下游具备基于安全通知，威胁情报监控等第三方信息分析评估软件供应链安全性的基础条件供应链软件产品交付投产后，供应商应在产品生命周期内提供安全服务，及时修复产品漏洞，最终用户也应根据供应商提供的软件组件清单纳入企业资产管理范围，定期进行资产安全评估，并结合漏洞预警对受影响产品进行加固修复

伴随着技术的不断迭代和产业的快速发展，软件供应链逐渐形成了一个庞大的产业生态，其中包括技术体系，多个产品组件以及各种渠道的开发者，供应商和消费者软件供应链的安全将直接影响关键基础设施和数字经济的安全作为中国可信安全生态建设的积极参与者，绿联科技推出《软件供应链技术安全白皮书》，旨在从安全威胁和国内外形势出发，梳理软件供应链中的安全问题，提炼软件供应链安全治理的核心理念，技术框架和关键技术，从供应链安全监管和控制等方面给出解决方案和最佳实践，希望带给读者新的技术思维，助力中国软件产业发展