网络产品和服务供应链安全风险在当前日趋严峻的网络安全形势下日显突出，一旦出现问题将会给关键信息基础设施带来严重危害。党中央和国务院高度重视关键信息基础设施的供应链安全，习总书记曾经指出：“供应链的‘命门’掌握在别人手里，那就好比在别人的墙基上砌房子，再大再漂亮也可能经不起风雨，甚至会不堪一击。”

而对于绝大多数企业、组织来说，软件供应链庞大而复杂，不同的供应商做着不同的事情，有效地保护软件供应链十分困难，因为漏洞会在软件供应链的任意一点上被引入、利用，在这样的环境下，脆弱的软件供应链会造成系统业务的损害和中断，软件供应链的治理迫在眉睫。

韩继指出，网络运营者应加强网络运维管理，因业务需要确需通过互联网远程运维的，应进行评估论证，并采取相应的管控措施。网络运营者应采购、使用符合国家法律法规和有关标准规范要求的网络产品及服务，第三级以上网络运营者应积极应用安全可信的网络产品及服务。 

软件供应链风险面正在不断增加，如IDE插件投毒、代码仓库风险、CI/CD平台缺陷、代码漏洞、三方组件与基础环境等风险。

根据软件供应链的特点，软件供应链的业务流程可以抽象成开发、交付以及应用三个环节，分为供应链引入环节、软件生产环节、软件应用环节。

对于软件供应链安全治理方案，得从源头解决软件供应链的输入，比如需要STAC威胁建模平台提前将开发、测试等报告生成好。再比如需要SCA对组件安全管理，快速定位组件位置，对业界突发的组件漏洞进行快速定位和管理，其中包含了私库拉取公库组件时通过SCA安全策略对组件进行检测，保障私库的持续可信；开发人员向私库添加组件，首先通过SCA扫描报备安全人员，维护安全策略然后进行组件添加等。

其中，通过STAC与SCA的联动在开发阶段对威胁建模安全要求进行验证，通过虚拟库、质量门实现三方组件的准入策略，通过IDE插件、模拟构建实现开发侧的安全检测与私有组件的依赖分析。

而在开发测试阶段还可以通过代码审计、安全测试等方式保障应用的安全，这一侧属于代码安全。同时结合相关工具实现与STAC威胁建模的联动，在测试阶段完成安全需求的验证。

关于软件应用阶段风险的有效控制，分为上线/发布环境控制和运行阶段控制。

上线/发布环境控制关键点在于保证存在已知风险的软件无法引入，引入之后要记录备案形成资产信息库。而痛点在于采购的商业软件安全质量不达标，开源、免费（公益）软件存在安全风险，基础服务版本、操作系统版本存在风险。因此所面临的风险为基础服务风险、软件代码风险、开源组件风险、三方服务未知风险等。

所以，要建立一般环境下安全监测能力、处置能力。围绕发布环境实际情况，针对一般环境中操作系统漏洞和基线情况提前检测确保安全性，之后再部署。同时对于已经上线的生产环境应用对于突发漏洞情况有快速处置的能力。

除此之外，还需建立云环境下安全监测能力、处置能力。在云、云原生环境下的容器镜像安全及配置问题，提前检测确保安全性，之后再部署。同时对于已经上线的生产环境应用对于突发漏洞情况有快速处置能力。

运行阶段控制需要建立开源软件漏洞运营能力，即在软件运营期间，持续检测开源软件的漏洞情况，一旦发现严重漏洞应尽快定位影响范围，并采取应急措施。采用的工具包括SCA、DAST等，并配合开源漏洞安全运营服务，应急响应服务。

该阶段还需建立敏感信息泄漏监测与攻击面管理机制，防止敏感信息、代码泄漏导致安全风险，建立持续的代码泄漏监测机制，重点监控GitHub等平台是否包含敏感代码。采用的工具包括DAST、CSPM等，同时做好攻击面管理。

最后，需要建立软件供应链安全运营规范，即从运营业务角度出发，制定《软件发布平台安全运营规范》、《开源软件漏洞运营规范》、《软件敏感信息监控规范》等管理文档。

不同场景下的治理方法包括采购商业软件、软件外包开发、软件自主开发、软件对外发布、多级架构下的统一监管、软件生命周期漏洞跟踪闭环等。

 结合软件供应链安全管理流程，建立自助式的项目流转提测服务。以漏管理为维度，响应第三方监管政策，对安全事件进行效能督导，实现安全工作的效能跟踪。内嵌组件安全/代码审计/IAST插桩/资产安全引擎能力，结合企业组织架构权限，进行漏洞下发，指派，修复跟踪，全生命周期时间轴。基于业务统一业务标准，实现统一对外对接技术接口和业务接口，横向扩展安全引擎能力，实现软件供应链风险统一纳管分析。

默安科技通过私有化部署雳鉴交互式应用检测系统（IAST）、雳鉴静态代码检测系统（SAST）、雳鉴软件成分分析系统（SCA）、巡哨·智能资产风险监控系统、剑幕·主机安全检测系统、尚付·云原生保护平台，配合默安专业人工服务，以多种检测手段，可以适应不同目的的安全检测需求，全面保障软件的安全性。

软件供应链安全治理的最终目标，一是发现风险、二是解决风险，默安科技雳鉴研发安全管理平台（DSMP）为客户提供的最优解，基本涵盖了SDL开发流程中所需的漏洞检测，整体数据更加全面，可形成稳定的管理闭环。

默安科技具备丰富的左移开发安全和智慧安全运营经验，拥有完整的体系化安全工具链，在持续思考和创新中，探索出的这条贯穿软件生命周期的安全治理方案，视角更加全面，不拘泥于工具范畴而采用更加多样的治理措施，来达到更好的治理效果，可以实现软件供应链安全治理的真正落地。默安科技软件供应链安全治理方案已在政府、金融、能源、运营商、教育、医疗、高端制造等多个行业数百家政企单位的软件供应链日常安全建设以及攻防演练中有效落地。

文章来源：默安科技微信公众号