悬镜&中国电信：软件供应链安全治理与运营白皮书（2022）（128页）.pdf

1、关于悬镜安全关于 ISC关于中国电信研究院参编机构悬镜安全，DevSecOps 敏捷安全领导者。起源于北京大学网络安全技术研究团队“XMIRROR”，创始人子芽。专注于以代码疫苗技术为内核，通过原创专利级 全流程软件供应链安全赋能平台+敏捷安全工具链”的第三代 DevSecOps 智适应威胁管理体系，持续帮助金融、车联网、泛互联网、能源等行业用户构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。悬镜安全官网：https:/ 是亚太地区乃至当今世界规格高、辐射广、影响力深远的全球性安全峰会。自 2013 年举办首届以来，九年间已围绕网络空间治理、数据安全、威胁情报

2、等前沿领域安全问题，举办超 20场国际峰会，设立超300场分论坛，输出超2000个行业前沿议题。吸引来自中国、美国、俄罗斯、以色列、德国等全球 30 多个国家的 2000 余位政要、行业领袖、网络安全专家深度参与，共话全球网络安全生态。已经成为专业性、权威性、全球性的中国网络安全产业名片。ISC 官网：https:/ 5G、云计算、人工智能、大数据、物联网、安全等多个领域。悬镜安全、ISC、中国电信研究院导语INTRODUCTION 数字化时代，软件定义万物，已逐渐成为支撑社会正常运转的最基本元素之一。随着软件开发过程中开源应用的使用越来越多，开源应用事实上逐渐成为了软件开发的核心基础设施，混

3、源软件开发也已成为现代应用主要软件开发交付方式，开源应用的安全问题也已被上升到基础设施安全和国家安全的高度来对待。软件供应链开源化，导致影响软件全供应链的各个环节都不可避免受到开源应用的影响。尤其是开源应用的安全性问题，将直接影响采用开源应用的相应软件供应链的安全。除了开源应用开发者因疏忽导致的开源应用安全缺陷，还可能存在具有非法目的开发者故意预留的开源应用安全缺陷，甚至还有恶意攻击者伪造的含有隐藏性恶意功能的异常行为代码被故意上传到上游开源代码托管平台，实施定向软件供应链攻击。上述开源应用中存在的众多安全问题，导致软件供应链的安全隐患大大增加，安全形式更加严峻。而现代软件应用的供应链非常复杂

4、，软件供应链安全管理是一个系统工程，亟需从国家、行业、机构、企业各个层面建立软件供应链安全风险的发现能力、分析能力、处置能力、防护能力，整体提升软件供应链安全管理的水平。为此，需要开展全方位的软件供应链安全检测防御方法和技术研究。第一，开展软件成分动态分析及开源应用缺陷智能检测技术研究，突破高效高准确性的开源应用安全缺陷动态检测技术的瓶颈，解决基于全代码遍历和代码片段级克隆技术比对的应用安全检测难题，进一步实现对全球开源应用的全面安全检测，从源头堵住软件供应链安全隐患的源头。第二，建立全球开源应用的传播态势感知和预警机制，攻克软件供应链中软件来源多态追踪技术，实现对供应链各环节中软件来源的溯源

5、机制。通过软件来源多态追踪技术监控开源应用的使用传播和分布部署态势，全面把握有缺陷的开源应用传播和使用渠道，实现对全球开源应用及其安全缺陷的预测预警。第三，建立国家级/行业级软件供应链安全监测与管控平台，具备系统化、规模化的软件源代码缺陷和异常行为代码分析、软件漏洞分析、开源软件成分及风险分析等关键能力，为关键基础设施、重要信息系统用户提供日常的自查服务，及时发现和处置软件供应链安全风险。第四，严格管控软件供应链上游，尤其重点管控开源应用的使用，积极推动代码疫苗、SCA、区块链和 SBOM 等新技术和标准在软件供应链安全领域的推广和应用，从根本上提供软件供应链安全的可靠保障。随着 AI 和自动

6、化恶意攻击技术不断升级，专门针对软件供应链的攻击趋势明显加强，软件供应链已经成为网络空间攻防对抗的焦点，直接影响关键基础设施和数字经济安全，这也是为何中国第一届“DevSecOps 敏捷安全大会”（DSO2021）的主题被定为“安全从供应链开始”的主要原因，也是我们本次发布软件供应链安全治理与运营白皮书（2022）的主要驱动力。此外，作为国内 DevSecOps 软件供应链安全的主要推动力量之一，从 2016 年初开始，我和悬镜创始团队就一直希望能有机会结合自身在这几年的前沿技术创新研究和行业应用实践沉淀，可以对软件供应链安全的治理与运营及 DevSecOps 敏捷安全体系的演进做一个系统性的