信通院郭雪：软件供应链安全标准体系建设与洞察

在第十届互联网安全大会（ISC 2022）上，悬镜安全出品并主办了软件供应链安全治理与运营论坛，特邀中国信息通信研究院（以下简称“信通院”）云计算与大数据研究所开源和软件安全部副主任郭雪，发表了主题为“软件供应链安全标准体系建设与洞察”的精彩演讲。

图1 信通院郭雪在悬镜软件供应链安全治理与运营论坛发表主题演讲

以下为演讲实录：

大家好，我是信通院云大所的郭雪，非常荣幸能够参与悬镜软件供应链安全与运营论坛，与大家分享软件供应链产业的发展现状以及信通院在软件供应链安全相关标准体系方向的建设成果和对产业的洞察。

软件供应链安全研究背景

为何两年来软件供应链安全关注度如此之高？这与相关安全事件的频发是密切相关的，尤其2021年年末爆发的Log4j2.x漏洞事件产生了非常大的影响，无论是传统行业的公司还是软件开发公司抑或是安全厂商，都关注到了软件供应链安全。欧盟调研数据显示，软件供应链安全事件近年来的增长速度高于以往。也有报告显示，大约45%的受访企业在软件供应链保护方面的工作只完成了一半。

在这样的软件供应链产业大背景下，首先最重要的是要明确软件供应链安全的定义。不同人对软件供应链安全的认知差异很大，有的人甚至将软件供应链与软件安全、开发安全划上等号。

2019年，某家全球知名网络安全公司提出了软件供应链的定义：从开发到将产品或服务从供应商交付给客户所涉及的组织、人员、活动、信息和资源系统。Linux基金会在《开源软件供应链安全报告》中指出，软件供应链组成要素包括开发者、存储库、包依赖关系管理器和最终用户。

信通院认为，软件供应链概念是由传统供应链定义演进而来。传统供应链在国标中是指生产及流通过程中，围绕核心企业，将所涉及的原材料供应商、制造商、分销商、零售商直到最终用户等成员通过上游或下游成员链接所形成的网链结构。在此基础上便衍生出软件供应链的定义：根据软件生命周期中一系列环节与传统供应链的相似性，由传统供应链扩展而来，包括第三方代码/组件引入、应用开发测试、渠道分发、交付下载使用等。

此外，尚未发布的在研标准对软件供应链的定义是为满足软件供应关系通过资源和过程将需方、供方相互连接的网链结构，可用于将软件产品和服务提供给需方，包括