1、1软件供应链安全治理实践指南白皮书（2023）软件供应链安全治理实践指南白皮书（2023）中国联通研究院中国联通网络安全研究院下一代互联网宽带业务应用国家工程研究中心2023 年 11 月版权声明版权声明本报告版权属于中国联合网络通信有限公司研究院，并受法律保护。转载、摘编或利用其他方式使用本报告文字或者观点的，应注明“来源：中国联通研究院”。违反上述声明者，本院将追究其相关法律责任。软件供应链安全治理实践指南白皮书（2023）1目 录目 录前 言.3一、软件供应链安全概述.51.1 软件供应链安全概念.51.2 软件供应链主要安全事件.61.3 国内外政策法规及标准.13二、软件供应链安全面

2、临严峻挑战.202.1 开源代码风险不断增加.202.2 API 风险日益突出.222.3 威胁暴露面持续增多.252.4 软件安全治理困难.262.5 APT 攻击更加复杂.272.6 云安全进入下半场.28三、软件供应链安全治理.293.1 软件供应链安全框架.293.1.1SLSAv1.0 框架.293.1.2SSDF 框架.313.2 软件供应链安全治理理念.323.2.1 理念一：可展示软件成分.32软件供应链安全治理实践指南白皮书（2023）23.2.1 理念二：可评估软件供应链过程.353.2.3 理念三：可信任软件供应链.373.2.4 理念四：可持续运营与管理.383.3 软

3、件供应链安全治理体系.393.3.1 安全管理.403.3.2 基础安全原子能力.423.3.3 持续监控与运营能力.62四、软件供应链安全治理实践.774.1DevSecOps 实践.774.2 源软件安全治理实践.80五、未来展望.845.1SBOM 能力日渐成熟.845.2 软件供应链安全治理新模式形成.845.3 供应链的安全风险态势重要性凸显.85附录A 缩略语.86附录B 参考文献.88软件供应链安全治理实践指南白皮书（2023）3前 言前 言软件作为新一代信息技术的灵魂，在人类社会的数字化进程中发挥着重要的基础支撑作用，如今已经成为了驱动云计算、大数据、人工智能、5G、区块链、工

4、业互联网等新一代信息技术迭代创新的重要力量，正在全面推动着经济社会数字化、网络化、智能化的转型升级。随着软件产业的快速发展，开放、平等、协作、共享的开源模式成为了全球软件技术和产业创新的主导模式，基础软件、工业软件、新兴平台软件、应用软件等共同构成了企业信息系统中庞大的软件体系，而开源软件或组件已经成为了这些软件的主要基础。因此，开源软件的风险和软件供应链的安全风险已经严重威胁到企业的软件安全。面对如今庞大复杂的软件体系和频发的软件供应链安全事件，开展面向供应链的软件安全治理，建立完善的软件供应链安全能力体系，已经成为国内外企业所关注的焦点。软件供应链生命周期长、环节复杂、暴露面多，上中下游任

5、何一个薄弱点都有可能被攻击者利用，进而发起对整个软件系统的攻击，而软件供应链相关的工作机制和流程规范的缺乏、软件供应商安全管控的不足、开源组件漏洞修复的困难、软件供应链安全能力建设的不完善以及软件供应链安全态势持续监控的滞后，都导致如今软件供应链的安全形式更加严峻。因此，开展软件供应链的安全治理，需要在遵从国家法律法规政策的基础上，构建从顶层软件供应链安全规范制度到底层基础安全能力全面覆盖，以软件供应链安全治理实践指南白皮书（2023）4及软件供应链安全态势持续监控的综合治理体系，更全面的保障软件安全。本白皮书立足于国际国内的软件供应链安全发展现状，面向企业软件供应链安全治理存在的需求，提出软

6、件供应链安全治理体系，为企业软件供应链安全能力建设提供指引，助力企业的安全数字化转型。本白皮书的目标读者包括但不限于移动运营商、通信设备提供商、安全产品提供商、安全服务提供商、系统集成商，以及其他关心软件供应链安全的相关机构和个人。编写单位：编写单位：中国联合网络通信有限公司研究院、中国联通福建省分公司、联通在线信息科技有限公司、联通软件研究院、杭州孝道科技有限公司、北京神州绿盟科技有限公司、杭州安恒信息技术股份有限公司专家顾问：专家顾问：叶晓煜、徐雷、张曼君、傅瑜、葛然、张小梅、徐积森、滕开清、张文、周映编写成员编写成员：郭新海、王戈、刘安、侯捷、蓝鑫冲、丁攀、苏俐竹、牛金乐、谢泽铖、陆勰、