摘 要
信息化时代软件成为社会运作基本组件,地位及其重要性不断提高。特别是数字中国建设的提出进一步强化了软件的地位,软件行业快速发展并通过软件定义快速融入生活的方方面面。随之而来的软件供应链安全问题也趋于复杂化和多样化,软件供应链安全问题已经成为一个全球性的问题。从软件生产者视角研究了软件供应链安全体系,并通过安全开发实践,提出了软件开发过程中保障软件供应链安全的开发方法。通过提供软件出生前的安全保障,尽可能地消除软件安全缺陷,确保向下游交付安全的软件,以保护软件供应链安全不受或者少受攻击。
内容目录:
1 背 景
2 业界软件供应链安全体系
3 软件供应链安全解决方案
3.1 企业解决方案
3.2 安全开发流程
4 安全开发实践
4.1 开发环境安全
4.2 开源安全
4.3 安全工具链
5 特色做法
5.1 开发流程各环节的管控工具化
5.2 开源及第三方软件和组件入库管控更严格
5.3 实现出口精细化管控
6 实践效果
7 结 语
《“十四五”软件和信息技术服务业发展规划》指出,软件是新一代信息技术的灵魂,是数字经济发展的基础,是制造强国、网络强国、数字中国建设的关键支撑。随着现代软件开发过程的不断演进,以及新技术平台的出现,特别是以开源为主的开发方式的出现,使得软件供应链条变得越来越复杂,暴露给攻击者的攻击面越来越多,攻击事件频发,从而对用户隐私、财产乃至国家安全造成重大威胁。
软件成为支撑社会正常运转的基本组件的同时,软件的安全问题也被认为是根本性、基础性问题,保障软件供应链安