软件供应链安全管理实践之麒麟软件

软件供应链安全管理是保护软件开发和交付过程中所有组件的安全性和完整性的重要环节，软件供应链安全国家标准及政策的发布，为企业软件供应链安全管理提供了依据。

本文摘选自软件供应链安全推进工作组指导、苏州棱镜七彩信息科技有限公司主笔的《2023软件供应链安全研究报告》中第八章《保障软件供应链安全能力评估及安全管理实践》，旨在展示麒麟软件在相关制度下进行的软件供应链安全管理实践。

2022年11月麒麟软件有限公司作为首批标准试点单位参与对国标条款的验证工作。试点期间，麒麟软件重点对产品的安全开发过程、上游组件、交付时软件的安全状态、交付方式等进行验证，明确了国标对机构管理、制度管理、人员管理、供应商管理、知识产权管理、软件采购、外部组件使用、软件交付、软件运维、软件废止、软件供应链安全风险、软件构成图谱等方面的要求。

1、开发过程方面，涵盖了研发工具、开发工具、编译工具、测试工具、版本管理工具等软件开发过程中不可或缺工具的风险识别及应对。

2、上游组件方面，制定了完整的开源许可证合规管理体系，开源组件CVE漏洞持续的跟踪修复，建立物料清单SBOM及可信软件仓库，积极参与开源社区，对内强调全面拥抱开源，对外注重开源社区间合作与开源生态建设，形成开源软件开发与开源社区发展的内外循环。

3、交付安全性方面，对于实体类物料，只有刻录成功且经验证的光盘，才会用于交付；对于电子物料，会提供入库时的MD5值或者哈希值，以确保用户获取的文件完整性且无安全隐患。

4、升级和维护安全性方面，实施强密码策略、多因素身份验证和访问审计，强制要求通信链路必须使用HTTPS进行数据传输，软件包安全和签名验证，确保所有更新文件为正版且未被篡改。

同时，为应对供应链安全方面新的挑战，麒麟软件从以下方面加强供应链安全风险控制：

（1）积极构建自主可持续操作系统根社区。麒麟软件已主导构建 openKylin开源根社区,并且积极贡献 OpenEuler 开源社区、在社区贡献始终名列前茅。

（2）建立统一安全开发流程。通过统一门禁、统一代码托管、统一构建、统一测试等做好开发过程管理,做好供应链软件和供应链生态的安全管理。实现从设计、开发、测试、发布到运维保障的全生命周期闭环供应链安全。

（3）持续加大对开源社区投入。下一步麒麟软件将持续加大对开源社区投入。并通过开发者赋能专项行动、麒麟安全生态联盟建设等途径完善银河麒麟操作系统供应链安全管理体系。