政府行业软件供应链安全治理的探索与实践

政府行业软件供应链安全治理，近几年成为业界关注的焦点。一是由于数字化转型趋势下，软件架构复杂性增加，外部引入成分占比增加，供应链中断风险增加；二是由于缺乏全面有效的安全评估和防护措施，各个环节均存在被攻击者利用漏洞或恶意代码进行篡改或破坏的可能，导致组件漏洞和供应链投毒事件频发；三是由于多种开源许可协议之间存在不兼容性和冲突性，违反许可证条款将可能面临知识产权纠纷和法律责任。

近年来，国家层面高度重视软件供应链安全问题，不断建立健全相关法律法规、标准制度，政府行业面临日益严峻的合规性压力。例如，《网络安全法》《电子商务法》《电子签名法》《计算机信息网络国际联网管理暂行规定》等相关法律法规对网络产品、服务提供者提出了明确要求；《信息技术服务外包管理办法》《关键信息基础设施安全保护条例》等相关文件对信息技术服务外包、关键信息基础设施保护等方面进行了规范。

值得一提的是，相较于等保2.0，《GB/T39204-2022信息安全技术 关键信息基础设施安全保护要求》对关基提出了更高的软件供应链安全保护要求：一是在供应商选择时，应注意防范非技术因素导致产品和服务供应中断风险；二是验收时应对软件进行源代码层面的安全检测；三是关基单位应要求产品和服务提供者对设计、研发、生产、交付等关键环节加强安全管理。

目前，监管机构在软件供应链安全的检查趋于事前安全、过程安全和内在安全：一是以查带评明确软件供应商软件生产过程各个生命周期的安全要求；二是针对内部开发过程安全投毒，重点评估开发基础设施的安全配置和审计能力；三是加大对软件产品内在组件漏洞、自研比、成分的评分权重。

默安科技的政府行业软件供应链安全治理解决方案在以上现状与背景之下应运而生。

政府行业的软件开发特点是基本为外包，并且政府单位不具备代码层面的安全验收能力，因此政府信息安全管理中心、省市大数据局等安全监管能力的单位会承担软件供应链安全准入的监管职责。

政府行业主管侧，默安科技的软件供应链安全治理方案通过行业软件供应链安全风险可视化，梳理高频、核心组件清单为下一步治理建立基础；通过将项目成果转化成地方标准，配合全面的软件供应链安全风险评估活动，快速在行业内推广软件供应链安全最佳实践，推动行业软件代码安全水平提升。

政府单位侧，默安科技提供软件供应链安全的检测方案，包括评估标准的制定和技术服务的落地，从安全机制、软件成分、软件安全性、SBOM、安全责任、应急响应等六大评估维度，对供应商开展软件供应链安全风险评估，政府单位依据评估结果，一是优化原有的供应商准入标准，二是建立供应商准入黑白名单。以此帮助政府单位了解供应商真实安全开发能力，为选择软件供应商提供依据，为管控软件供应商开发安全过程提供抓手，为交付阶段软件代码层面的安全验收提供技术手段，帮助政府单位提升软件供应链安全管理水平。

供给侧，默安科技的软件供应链安全治理方案通过建立事前安全咨询、事中安全检测、事后安全分析的面向供应商的安全服务流程，帮助供应商逐步建立开发安全体系，通过项目实践培养供应商开发安全意识，利用SaaS服务为供应商开发安全赋能。