1软件供应链安全治理实践指南白皮书（2023）中国联通研究院中国联通网络安全研究院下一代互联网宽带业务应用国家工程研究中心2023年11月 版权声明本报告版权属于中国联合网络通信有限公司研究院，并受法律保护。转载、摘编或利用其他方式使用本报告文字或者观点的，应注明“来源：中国联通研究院”。违反上述声明者，本院将追究其相关法律责任。 软件供应链安全治理实践指南白皮书（2023）1目录前言.........................................................................................................................3一、软件供应链安全概述......................................................................................51.1软件供应链安全概念.....................................................................................51.2软件供应链主要安全事件..............................................................................61.3国内外政策法规及标准...............................................................................13二、软件供应链安全面临严峻挑战......................................................................202.1开源代码风险不断增加...............................................................................202.2API风险日益突出.......................................................................................222.3威胁暴露面持续增多...................................................................................252.4软件安全治理困难.......................................................................................262.5APT攻击更加复杂......................................................................................272.6云安全进入下半场.......................................................................................28三、软件供应链安全治理......................................................................................293.1软件供应链安全框架...................................................................................293.1.1SLSAv1.0框架.....................................................................................293.1.2SSDF框架.............................................................................................313.2软件供应链安全治理理念...........................................................................323.2.1理念一：可展示软件成分....................................................................32 软件供应链安全治理实践指南白皮书（2023）23.2.1理念二：可评估软件供应链过程.........................................................353.2.3理念三：可信任软件供应链................................................................373.2.4理念四：可持续运营与管理................................................................383.3软件供应链安全治理体系...........................................................................393.3.1安全管理...............................................................................................403.3.2基础安全原子能力................................................................................423.3.3持续监控与运营能力............................................................................62四、软件供应链安全治理实践..............................................................................774.1DevSecOps实践........................................................................................774.2源软件安全治理实践...................................................................................80五、未来展望.........................................................................................................845.1SBOM能力日渐成熟...................................................................................845.2软件供应链安全治理新模式形成................................................................845.3供应链的安全风险态势重要性凸显............................................................85附录A缩略语................................................................................................86附录B参考文献.............................................................................................88 软件供应链安全治理实践指南白皮书（2023）3前言软件作为新一代信息技术的灵魂，在人类社会的数字化进程中发挥着重要的基础支撑作用，如今已经成为了驱动云计算、大数据、人工智能、5G、区块链、工业互联网等新一代信息技术迭代创新的重要力量，正在全面推动着经济社会数字化、网络化、智能化的转型升级。随着软件产业的快速发展，开放、平等、协作、共享的开源模式成为了全球软件技术和产业创新的主导模式，基础软件、工业软件、新兴平台软件、应用软件等共同构成了企业信息系统中庞大的软件体系，而开源软件或组件已经成为了这些软件的主要基础。因此，开源软件的风险和软件供应链的安全风险已经严重威胁到企业的软件安全。面对如今庞大复杂的软件体系和频发的软件供应链安全事件，开展面向供应链的软件安全治理，建立完善的软件供应链安全能力体系，已经成为国内外企业所关注的焦点。软件供应链生命周期长、环节复杂、暴露面多，上中下游任何一个薄弱点都有可能被攻击者利用，进而发起对整个软件系统的攻击，而软件供应链相关的工作机制和流程规范的缺乏、软件供应商安全管控的不足、开源组件漏洞修复的困难、软件供应链安全能力建设的不完善以及软件供应链安全态势持续监控的滞后，都导致如今软件供应链的安全形式更加严峻。因此，开展软件供应链的安全治理，需要在遵从国家法律法规政策的基础上，构建从顶层软件供应链安全规范制度到底层基础安全能力全面覆盖，以 软件供应链安全治理实践指南白皮书（2023）4及软件供应链安全态势持续监控的综合治理体系，更全面的保障软件安全。本白皮书立足于国际国内的软件供应链安全发展现状，面向企业软件供应链安全治理存在的需求，提出软件供应链安全治理体系，为企业软件供应链安全能力建设提供指引，助力企业的安全数字化转型。本白皮书的目标读者包括但不限于移动运营商、通信设备提供商、安全产品提供商、安全服务提供商、系统集成商，以及其他关心软件供应链安全的相关机构和个人。编写单位：中国联合网络通信有限公司研究院、中国联通福建省分公司、联通在线信息科技有限公司、联通软件研究院、杭州孝道科技有限公司、北京神州绿盟科技有限公司、杭州安恒信息技术股份有限公司专家顾问：叶晓煜、徐雷、张曼君、傅瑜、葛然、张小梅、徐积森、滕开清、张文、周映编写成员：郭新海、王戈、刘安、侯捷、蓝鑫冲、丁攀、苏俐竹、牛金乐、谢泽铖、陆勰、侯捷、王翠翠、姚戈、程筱彪、王姗姗、王蕴实、贾宝军、陶冶、侯乐、刘伟、徐锋、冯烨璐、朱雅汶、王玮琪、杨廷锋 软件供应链安全治理实践指南白皮书（2023）5一、软件供应链安全概述目前，世界各国的数字化进程都在不断加速推进，以大数据、云计算、人工智能、工业互联网、5G通信网络、区块链和量子计算等为代表的新信息技术迅速发展，使数字经济成为了推动我国经济高质量发展的重要引擎，数据成为数字经济的基础性资源和生产要素，而软件应用系统作为承载业务数据的重要载体，在数字经济高质量发展的过程中发挥着重要的基础支撑作用。当前，软件产业快速发展，软件体系复杂多元，软件安全问题日益突出，软件供应链安全问题因其复杂性、隐蔽性和不可预见性等特点，已经严重威胁着企业的网络安全、信息安全和数据安全，并成为了世界各国数字化发展进程中关注的焦点。1.1软件供应链安全概念在数字化时代，数字化软件应用成为了人们生产和生活的基本要素，作为信息技术关键载体和产业融合的关键纽带驱动着数字化产业的快速发展。因此，在加快推进软件发展的同时，有效保证软件供应链的安全，才能使软件更好的赋能生产和生活，为数字经济的发展打下更夯实的基础。如今，软件应用的开发模式已经从原来的迭代开发转变为敏捷开发，特别是开