2022年8月1日，由悬镜安全、ISC、中国电信研究院共同编撰的《软件供应链安全治理与运营白皮书（2022）》于ISC互联网安全大会悬镜出品的“软件供应链安全治理与运营论坛”上正式发布。白皮书重点梳理了软件供应链安全现状和面临的挑战，阐述了软件供应链安全治理体系和开源威胁治理方案，旨在帮助读者加强软件供应链安全意识，丰富治理思路。

图1 《软件供应链安全治理与运营白皮书（2022）》正式发布

Gartner分析指出，“到2025年，全球45%组织的软件供应链将遭受攻击，比2021年增加了三倍。”可见，软件供应链的安全威胁将越来越严重。近年来，软件供应链攻击事件越来越多，如何进行此类威胁治理是众多企业关注的重心。毕竟网络安全关乎着企业是否正常运转，是国民经济能否正常运行的重要前提，而软件供应链安全作为网络安全的重要组成部分，是实现网络安全的重要前提。

本白皮书在第一章介绍了软件供应链安全的发展背景，从政策法规驱动和行业标准规范等维度，对软件供应链的重要性进行了详述；在软件供应链安全现状章节详述了近年以来的软件供应链安全相关事件，迄今为止算是比较详细地将此类事件做了总结，并针对三个典型事件进行了剖析，通过系统性整理、分析和研究，归纳总结了软件供应链风险的8项典型特征；同时延展了软件供应链安全的风险。相较以往，对诸多内容都做了更充分的说明。详细内容可自行查阅。

图2 《软件供应链安全治理与运营白皮书（2022）》目录

软件供应链安全治理体系

报告详述了软件供应链安全治理的常用框架，此外还构建了一套较为全面系统的软件供应链安全治理体系，借助安全自动化工具，实现对软件供应链全链路的安全风险治理。

图3 软件供应链安全治理体系

开源威胁治理

Perforce的Open Source Initiative(OSI)和OpenLogic联手开展了一项关于开源软件状态的全球调查，数据显示，在过去12个月中，77%的受访者在其组织中增加了对开源软件的使用，36.5%的受访者表示他们的使用量显著增加。

也有数据显示，有90%的组织都依赖于开源软件，而且开源软件也经常被嵌入到其他开源项目中。但是，尽管开源为企业的创新和快速发展提供了源动力，但与之而来的还有安全风险问题，为攻击者提供了潜在的安全威胁入口点。

白皮书描述了开源软件安全风险、开源威胁治理技术、开源威胁治理前提、开源威胁治理阶段等内容，也从开源的SCA工具和商业化的SCA工具两个维度为读者介绍了代表性的SCA工具，让读者对各工具有更深入的了解，还包含以下开源SCA工具对比表，更详细的对比项请查看白皮书。

图4 开源SCA工具对比

不管是国内还是国外的应用安全厂商，都有自己成熟的AST工具链、甚至还有平台和服务体系，也衍生了更丰富的工具布局和规划设计，以适应云原生、物联网、产业互联网等不同应用场景的需求。在开源治理中，企业应该选择具有怎样能力的商业化SCA工具，白皮书也做了详细介绍。

最后

科技的发展让社会协作变得更加高频和具有深度，在信息技术行业亦是如此。我们自己的业务系统会集成第三方的代码、使用第三方提供的开发环境、应用第三方生产的构建工具、运行在第三方开发的微服务和容器之上，这种深度协作方式让我们的业务生产和运营效率指数级提升，但同时带来的，也有软件供应链风险史无前例的增长。

SolarWinds Orion事件让人们见识了供应链攻击能做到什么，Apache Log4j2漏洞让人们了解了开源代码的千疮百孔，Equifax信息泄露事件让人们知道了大型企业的安全建设在软件供应链安全漏洞前是多么的脆弱不堪。这一切，促成了我们对本报告的编撰工作，我们希望用系统性的思维和方式，收集、分析、整理、阐述软件供应链安全治理与运营的方方面面。由于篇幅所限，本文提及的工具、方法和措施只是软件供应链安全领域的沧海一粟，更多的还需要读者在实践中探寻。

如何获取报告？

关注悬镜安全服务号，后台回复关键词：软件供应链报告，即可下载

关于悬镜安全

悬镜安全，DevSecOps敏捷安全领导者。起源于北京大学网络安全技术研究团队“XMIRROR”，创始人子芽。悬镜专注于以代码疫苗技术为内核，通过原创专利级"全流程软件供应链安全赋能平台+敏捷安全工具链”的第三代DevSecOps智适应威胁管理体系，持续帮助金融、车联网、泛互联网、能源等行业用户构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。更多信息请访问悬镜安全官网：www.xmirror.cn

关于ISC

互联网安全大会（简称ISC），作为亚太地区乃至当今世界规格高、辐射广、影响力深远的全球性安全峰会，互联网安全大会已连续举办九年，被誉为中国网络安全产业名片、全球网络安全行业风向标。大会举办九年来，大会已围绕网络空间治理、数据安全、威胁情报、物联网安全等前沿领域安全问题，举办20余场国际峰会，设立超300场分论坛，输出超2000个行业前沿议题。吸引来自中国、美国、俄罗斯、以色列、德国等全球30多个国家的2000余位政要、行业领袖、网络安全专家深度参与，共话全球网络安全生态。

关于中国电信研究院

中国电信股份有限公司研究院以机制创新、技术创新和管理创新为手段，坚持人才至上、以人为本原则，实施人性化管理，力争短期内在电信运营领域成为国际上比较知名、国内有重要影响力的研发机构。主要研究电信技术发展趋势与战略，研究技术发展政策，研究网络、技术与业务发展规划，研究技术体制和标准，负责新技术和新设备入网测试评估，进行决策软科学研究和发展研究，网络管理和业务管理等支撑系统的开发，应用软件研究与系统集成，开发电信新业务和增值业务等，为集团公司和各省子公司提供决策支撑、技术支撑、信息支撑。