软件供应链安全管理实践之华能集团招标公司

软件供应链安全管理是保护软件开发和交付过程中所有组件的安全性和完整性的重要环节，软件供应链安全国家标准及政策的发布，为企业软件供应链安全管理提供了依据。

本文摘选自软件供应链安全推进工作组指导、苏州棱镜七彩信息科技有限公司主笔的《2023软件供应链安全研究报告》中第八章《保障软件供应链安全能力评估及安全管理实践》旨在展示华能集团在相关制度下进行的软件供应链安全管理实践。

01华能集团采购活动中的供应链管理

华能招标有限公司（以下简称“招标公司”）在本次软件供应链安全管理标准试点中的工作主要围绕以下若干个方面展开：

1、制定办法，明确要求

A. 招标公司严格按照华能集团公司（以下简称“华能集团”）印发的供应商管理办法中明确的供应链安全管理工作组织架构、职责、工作内容和具体工作要求执行。同时招标公司也制定了网络安全职责分工实施细则、网络安全管理办法以及重大网络安全事件应急预案等一系列管理制度和办法。

B. 招标公司的供应活动按照国家、华能集团及内部的采购管理相关制度执行，对信息化项目的需求提出、立项、申请预算、采购、建设、验收、运维等工作进行了规定，明确了在项目建设过程中的安全防护要求、技术选型，对所使用的产品清单进行审查；在运维阶段，开展建转运的移交工作，确定运维方案，包括运维团队、运维内容和范围、运维流程；出现软件废止或者停止服务前，开展替代工作。签订合同后建立供应关系，合同中明确了软件供应活动中的安全要求，所有信息化供应单位均签订保密协议。

02、形成软件供应链安全图谱，持续管控风险。

A. 通过梳理业务相关利益方，建立了与相关监管部门、上下级单位、供应链厂商等各方的沟通机制，并形成了《供应商外联单位联系表》；通过梳理当前业务软件供应链所使用信息技术产品，梳理形成了《资产清单》，包括所使用产品的版本、原厂商、授权等信息；以及所使用到的开源技术软件和组件，形成《开源产品清单表》。最终结合形成软件供应链安全图谱，覆盖软件产品信息、软件物料清单以及相关安全信息等。

B. 通过建立以下机制，实现软件供应链安全风险管理体系：

• 软件供应链安全风险生命周期管理机制：招标公司具备软件安全分析能力和有源代码安全管控制度，并具备供应链产品高危漏洞影响范围评估能力，要求供应链单位采用可信或可控的产品交付手段；通过定期开展安全风险评估工作，及时进行安全维护和版本更新，确保产品自身安全迭代；同时按照招标公司网络安全管理办法，要求明确网络安全责任，在产品上线前完成应用软件安全检测项目运行期间对变更进行严格管控，保证安全措施全生命周期有效性。

• 软件供应链威胁情报管理机制：要求各业务系统负责人建立重要供应链产品或厂商威胁情报管理机制，包括产品漏洞、供应链攻击等内容的管理，通过安全组件对各业务系统进行威胁监测和检查，发现漏洞及时进行修复。

• 安全图谱管理机制：软件供应链安全图谱做为重要基础数据，由网络安全人员专职进行管理.

• 知识产权管理机制:《华能招标有限公司科技项目管理办法》对软件授权证书、专利、软件著作权的产出进行了规定，由科技管理人员负责进行管理。

• 数据分级分类机制:公司通过数据字典对供应商可接触的进行；《华能招标有限公司数据管理办法》中明确供应链单位对运营者数据在收集、存储、使用、加工、传输、销毁等环节采取安全管控措施。

02、“以密码为软件信任之基”华能软件供应链安全方案

密码技术是保障网络安全的核心技术和基础支撑，在软件供应链安全防护方面，可以有效解决软件的信任问题。华能集团在结合密码技术的基础上，利用对称加密、不对称加密、数字签名等途径，保障软件可鉴别、可追溯和可审计。

01、安全框架

华能集团提出密码在软件全生命周期中的供应链安全保障技术框架。

图1 供应链安全保障技术框架

围绕集团软件全周期安全保障，将安全机制贯穿到软件研发和采购的每一个环节，分为密码服务、安全机制、安全运营等层次。框架设计以软件组件信息完整性保证、以软件组件来源和更新可追溯、以及软件世系可管理为核心目标，实现软件供应链安全的体系化保障。

密码服务为软件供应链安全提供核心安全机制支撑，主要提供签名验签、数据加解密、数据杂凑、随机数生成以及证书管理等基础密码功能服务。

在密码服务的支撑下，基于国密算法对软件SBOM、软件组件的哈希值进行签名，同时通过软件语法和语义特征构建软件指纹。此外，基于固定数据结构构建软件凭证。在上述机制基础上，结合软件状态更新建立每一个软件的世系，实现软件全生命周期的基于密码的追溯机制。

02、方案特点

特点1：密码定义软件身份。

集团对采购、研发的软件，首先构建软件的物料清单SBOM（Software Bills of Materials），SBOM（软件物料清单）提供了软件中使用的第三方组件的可见度，以便及时跟踪和修复漏洞。SBOM包括软件版本、补丁级别和补丁计划，还提供描述产品生命周期的产品路线图，包括服务终止、生命周期终止和支持终止。使用行业认可的漏洞评分方法和披露该方法以及用于沟通和解决已识别漏洞和威胁的流程、程序、资源和时间表。

特点2：兼顾密码自身的供应链安全。

华能采取的方式是构建密码物料清单（Cryptography Bill of Materials，CBOMs)。通过密码物料清单，识别和清点密码资产和依赖关系，帮助后期迁移到量子安全算法。

CBOM是软件供应链中众所周知的软件材料清单（SBOM）概念的扩展，该概念允许使用组件、库和依赖项的标准化列表来描述系统和软件。我们的CBOM描述了加密资产，同时扩展了现有的软件供应链工具。它简化了跨各种软件、服务和基础设施的加密库存的创建和管理，并允许将复杂的加密组件添加到完善的工具和流程中，以评估软件供应链的安全性和完整性。