1、保护供应链安全的六个考虑因素解决方案指南|1新思科技在年度“开源安全与风险分析”（OSSRA）报告中指出，开源和第三方软件的使用将继续快速增长。这意味着在软件开发生命周期中，软件开发团队在软件研发周期中无疑会在某种程度上使用一定数量的开源软件。如果您的团队是一个软件供应商，那么使用开源以及在构建应用时所依赖的第三方和商业组件将使您成为供应链的一部分。值得注意的是，这条供应链并不局限于您的团队，而是扩展到了您的开发和交付活动之外，一直延伸到应用的最终用户。您的供应链包含与应用相关的所有内容，或在其组装、开发和部署中发挥作用的任何内容。从这个角度来看，您的供应链还包括由开发团队创建的私有代码和组件

2、、软件使用的API和云服务、以及用于构建该软件并将其交付给最终用户的基础架构。通过对更具体或更传统的供应链示例进行分析，有助于提高软件供应链讨论的清晰度。我们以汽车制造业为例。该行业的供应链始于原材料。原材料供应商向零部件制造商提供金属、棉花、皮革和木材等原材料。零部件制造商使用这些原材料生产螺钉、织物、螺母和螺栓等非汽车级零部件。然后，零部件制造商将这些零部件提供给汽车零部件和系统制造商，由他们负责设计制造汽车所需的汽车级零部件（发动机和变速器等）。最后，这些汽车级零部件将交给原始设备制造商，由他们在装配线上制造汽车并将其运送到销售点，卖给消费者。鉴于这个制造过程涉及面很广，因此会生成很多的

3、风险入口。制造这辆车的零部件质量如何？汽车制造商组装这些零部件的工艺如何？这辆车的实际上路性能如何？它如何应对突发性事故和非理想驾驶条件等情况？对于这条供应链而言，整个过程中所涉及的每个组件、人员、活动、材料或程序都会对最终产品及其用户产生影响。该工作流中任何部分的漏洞都会带来风险，减轻这种风险的唯一方法就是完全了解整条供应链。这一点同样适用于软件供应链。简言之，如果没有全面了解供应链，企业就无法准确或全面地管理其风险。纵观如此众多的活动部件，只要存在一个未经识别的漏洞或设计缺陷，都会带来漏洞被利用的风险。对于这条供应链而言，整个过程中所涉及的每个组件、人员、活动、材料或程序都会对最终产品及其

4、用户产生影响。|2 软件供应链现状2021年，各种安全事件层出不穷。最突出的是，常用的Apache Log4j实用程序中的0-day漏洞，允许攻击者在易受攻击的服务器上执行任意代码。这证明了不安全的开源代码可能会对软件开发行业内部和外部的各种业务产生影响。同时还有一些事件，表明开源软件并不是破坏软件供应链完整性的唯一风险。SolarWinds泄密事件是因为一个被泄露的密码帮助黑客获得了对公司系统的访问权限，从而伺机利用例行日常更新侵入了成千上万客户的敏感数据。在CodeCov供应链攻击中，黑客利用在Docker镜像中发现的密钥凭据，安装了后门，从而获取了客户数据访问权限。面对安全漏洞的增加，拜

5、登总统发布了一项行政命令(EO)，针对与联邦政府有业务关系的企业如何保护其软件安全提出了具体指导方针。该命令旨在增强美国网络安全的状况，推动实现全国范围内的企业安全实践重审，范围远远超出了命令中提到的那些企业。这项行政命令还引发了对软件安全实践的整体审查。该命令的关键宗旨是增强软件供应链以及规避软件供应链中的漏洞。该项行政命令在现有的软件安全实践中添加了另一个考虑因素：企业从供应链安全的视角全面审查其现有活动。其结果是在审查和加强安全措施时需要满足更多的强制性要求。确保供应链安全：取得成功的关键因素从根本上讲，确保供应链安全必须考虑如何保护应用远离上游风险，以及如何防止企业产生下游风险。为了帮

6、助您轻松便捷地开始解决供应链安全问题，新思科技确定了有助于安全活动取得成功的六个考虑因素。回答这六个问题可以让您深入了解供应链安全工作中的成功和疏漏，为您的安全活动提供支持。从根本上讲，确保供应链安全必须考虑如何保护应用远离上游风险，以及如何防止企业产生下游风险。|3您使用的开源软件是否安全？了解开源风险由于使用开源软件会带来很大的风险，因此，确保供应链中每一个环节的安全都必不可少。众所周知，开源代码在当今的开发环境中无处不在。因此，毫不夸张的说，您的大多数应用都在某种程度上采用了开源代码。开源的普及给解决供应链安全带来了一个根本隐患。虽然开源的风险与私有代码差不多，但如果不能对其进行充分防护