软件供应链安全管理实践之中国科学院软件研究所

软件供应链安全管理是保护软件开发和交付过程中所有组件的安全性和完整性的重要环节，软件供应链安全国家标准及政策的发布，为企业软件供应链安全管理提供了依据。

本文摘选自软件供应链安全推进工作组指导、苏州棱镜七彩信息科技有限公司主笔的《2023软件供应链安全研究报告》中第八章《保障软件供应链安全能力评估及安全管理实践》旨在展示中国科学院软件研究所在相关制度下进行的软件供应链安全管理实践。

2021年3月，中国科学院软件研究所在南京启动建设“源图”开源软件供应链重大基础设施，建设国内首个开源软件采集存储、开发测试、集成发布、运维升级等一体化设施，打造服务全球的开源代码知识图谱和开源软件供应链体系，保障我国软件供给安全和产业高质量发展。

基于海量代码知识化等关键核心技术，“源图3.0”累计获取分析开源软件超过1.4亿款，建成国内规模较大的开源软件知识图谱，实体数量超过1.8亿条，关系数量超过26亿条，代码行数超过1900亿行，累计发现存在维护性风险、合规风险、安全风险的项目超百万个，实现了代码缺陷检测、固件检测、漏洞感知、漏洞管理、系统集成发布等创新应用。截至2023年2月，“源图”累计发现超过80万个存在维护性风险的项目，24万个存在许可证冲突的项目，773 个被“投毒”成功的项目，其中，已获得145个PyPI漏洞编号，12个Kernel漏洞编号。“源图”深度支持两个最大的国产操作系统根社区开源欧拉和开源鸿蒙，以及国内首个自主开源基金会开放原子开源基金会，全面支撑中国科学院计算机网络信息中心、国家互联网应急中心等重点单位以及华为、阿里等龙头企业的创新需求。

开源软件供应链漏洞情报库

通过追踪各个开源软件安全公告、代码托管平台、国家漏洞发布平台、第三方漏洞发布平台，实时追踪感知当前新增更新的漏洞信息，获取当前漏洞的编号、描述信息、相关新闻事件、危险等级、参考链接、受影响的软件包名及受影响的版本号、修复补丁等，将不同来源的开源的信息进行关联，以获取漏洞风险全貌，形成实时更新的软件开源漏洞情报库。

开源漏洞感知

开源漏洞感知技术是通过对目标软件产品的开源软件物料清单进行持续看护，跟踪其开源软件供应链上下游变化情况，并基于全球化漏洞情报收集跟踪能力，实现对软件产品的长期、持续和自动化的漏洞识别、修复方案收集、可利用性评估等能力。2023年1月至2023年11月，OpenEuler开源操作系统社区应用开源漏洞感知技术成功发现并修复的漏洞占比达到95.5%，46%的漏洞在美国国家安全漏洞库NVD正式发布前完成捕获，最大提前量达到291天，极大提升了开源操作系统漏洞响应时间窗口。

运行时开源风险监测

运行时开源风险监测是对运行中的服务器、云计算环境等进行开源软件风险监测，用于及时发现未修复的漏洞、隐藏的被投毒项目、存在维护性风险与合规风险的开源软件等。通过识别、归类、评估、修复、跟踪五个主要流程，对开源软件供应链漏洞的生命周期进行状态记录和科学化管理，从而建立统一高效的安全风险报告机制、情报共享机制和研判处置机制，准确把握开源软件供应链安全风险发生的规律、动向、趋势。