m o .c 软件供应链安全发展洞察 报告 5 b u （2021年） h t i g 云计算开源产业联盟 OpenSource Cloud Alliance for industry，OSCAR 2021年12月 版权声明 本白皮书版权属于云计算开源产业联盟，并受法律保护。 m o .c 转载、摘编或利用其它方式使用本调查报告文字或者观点的， 应注明“来源：云计算开源产业联盟”。违反上述声明者，本联 5 b u 盟将追究其相关法律责任。 h t i g 前 言 数字化时代，软件已经成为日常生产生活必备要素之一， 渗透到各个重要行业和领域。随着数字化转型进程的推进， 容器、中间件、微服务、DevOps 等新技术理念的演进，软件 行业快速发展，但同时带来软件设计开发复杂度不断提升， 软件供应链愈发复杂，全链路安全防护难度不断加大等问题。 m o .c 近年来，软件供应链安全事件频发，对于用户隐私、财产安 全乃至国家安全造成重大威胁。软件成为社会运转组件的同 5 b u 时，软件供应链安全直接关系着关键基础设施和重要信息系 统安全，保障软件供应链安全成为业界关注焦点，也成为企 业共同诉求。 h t i g 本白皮书首先对于软件供应链安全进行了概述，明确软 件供应链安全发展背景、定义及特点，随后从市场及攻击规 模、政策法规、标准建设以及企业实践层面梳理了软件供应 链安全发展现状，其次针对软件供应链安全关键要素，从入 口管控、自身管控、出口管控三大环节解析要素实践落地。 最后，结合当前现状对于软件供应链安全未来发展趋势进行 前瞻预测，并在附录中分享了软件供应链典型攻击事件以供 参考。 参与编写单位 中国信息通信研究院、奇安信科技集团股份有限公司、腾讯云 计算（北京）有限责任公司、苏州棱镜七彩信息科技有限公司、杭 州安恒信息技术股份有限公司、深圳华大生命科学研究院、北京天 融信网络安全技术有限公司、深圳开源互联网安全技术有限公司、 悬镜安全、杭州默安科技有限公司、新思科技 主要撰稿人 5 b u m o .c 吴江伟、栗蔚、郭雪、刘帅、董国伟 黄永刚、梁大功、易焕 腾、李馨宁、郭铁涛、张文凯、赵洪阳、倪平、张祖优，张恒，迟 h t i g 长峰，朱瑞新、杨文根 袁明坤、杨廷锋、张鹏程、蔡国瑜、张玉 良、雷晓锋，杨剑、子芽、宁戈、董毅、严雪伦、王颉、杨国梁、 王永雷、张建盛、张桐桐、廖子晖 目 录 一、软件供应链安全概述 ........................................................................................................1 （一）软件成为社会运转基础组件，面临新型挑战 ....................................................1 （二）软件供应链安全定义、挑战及特点 ....................................................................2 （三）从软件供应链全链路开展软件供应链安全研究 ................................................6 m o .c 二、软件供应链安全发展现状 ................................................................................................9 （一）软件供应链攻击事件数量持续增长，业界关注及投入程度仍有待提升 ........9 （二）全球重点国家针对软件供应链安全推行政策法规 ..........................................10 5 b u （三）国内及国际标准组织推进软件供应链安全共识 ..............................................13 三、软件供应链安全关键要素 ..............................................................................................16 （一）软件供应链入口及出口安全管控 ......................................................................16 h t i g （二）软件供应链自身安全管控 ..................................................................................22 四、软件供应链安全发展建议 ..............................................................................................28 附录一：软件供应链典型攻击事件 ......................................................................................31 云计算开源产业联盟 软件供应链安全发展洞察报告 一、 软件供应链安全概述 （一）软件成为社会运转基础组件，面临新型挑战 数字化时代，软件已经成为社会正常运转的基础组件。在工信部 2021 年印发的《“十四五”软件和信息技术服务业发展规划》中，明 确提出，软件是新一代信息技术的灵魂，是数字经济发展的基础，是 制造强国、网络强国、数字中国建设的关键支撑。在数字化的大背景 m o c . 5 之下，分门别类的软件，包括系统软件、支撑软件、应用软件、信息 安全软件、工业软件等等，服务于电信、金融、交通、能源、制造、 政务等各个重点行业和场景，成为基础元素之一，与国家重要信息系 b u 统与关键基础设施息息相关。 多重因素助推软件行业快速发展，安全成为制约其发展的关键要 h t i g 素。容器、微服务、DevOps 等新技术、新理念的快速演进；软件应用 场景及需求不断增加，软件种类不断丰富；“混源”开发成为主要模 式，开源影响不断加大以及国家政策文件的鼓励支持等多重因素推动 软件行业快速发展。据统计，国内软件和信息技术服务产业规模从 2015 年的 4.28 万亿元增长至 2020 年的 8.16 万亿元，年均增长率达 13.8%，占信息产业比重从 2015 年的 28%增长到 2020 年的 40%；操作 系统、数据库、办公软件等取得一系列标志性成果，部分新兴平台软 件、应用软件达到国际领先水平。但在软件功能、性能、场景等快速 发展的同时，软件安全问题层出不穷，成为制约其发展的关键要素。 1 云计算开源产业联盟 软件供应链安全发展洞察报告 软件供应链安全事件频发，成为业界关注焦点。近来，备受瞩目 的阿帕奇（Apache） Log4j2 漏洞爆发事件与 2020 年 12 月发生的 SolarWinds 事件都属于典型的软件供应链安全事件。Apache Log4j2 组件是基于 Java 语言的开源日志框架，被广泛用于业务系统开发。 Apache Log4j2 组件漏洞可能导致设备远程受控，进而引发敏感信息 窃取、设备服务中断等严重危害，因其是日志记录组件，属于关键基 础组件，漏洞影响范围巨大。据统计， 在世界最大代码托管平台 GitHub m o c . 5 上，共有 60644 个开源项目发布的 321094 个软件包存在与 Apache Log4j2 相关的安全风险。SolarWinds 公司是管理和监控软件的供应 商，客户包括美国所有前十大电信业者、美军所有五大部队、美国国 b u 务院、国家安全局、以及美国总统办公室等。2020 年 12 月 SolarWinds h t i g 遭遇供应链攻击并植入木马后门，导致包括美国关键基础设施、军队、 政府在内的 18000 多家企业客户全部受到影响，成为年度最严重的供 应链安全事件。 图片来源：公开 图 1 Apache Log4j2 漏洞事件与 SolarWinds 安全事件 （二）软件供应链安全定义、挑战及特点 2 云计算开源产业联盟 软件供应链安全发展洞察报告 MITRE 公司向美国国防部（DoD）提出的供应链安全的定义是指 “从开发到将产品或服务从供应商交付给客户所涉及的组织、人员、 活动、信息和资源系统。软件供应链安全风险是软件在开发、交付、 使用等过程中及其管理体系由于存在脆弱性导致出现的安全问题。供 应链“活动”或“运营”涉及：将原材料、组件和知识产权转化为产 品，交付给最终客户；与供应商、中间人和第三方服务提供商进行必 要的协调和协作。” m o c . 5 软件供应链由传统供应链概念扩展而来。传统的供应链概念是指 商品到达消费者手中之前各相关者的连接或业务的衔接，从采购原材 料开始，制成中间产品以及最终产品，最后由销售网络把产品送到消 b u 费者手中的一个整体的供应链结构。将传统商品的供应链应用于计算 h t i g 机软件，则可以衍生出软件供应链这一概念。业界普遍认为软件供应 链指一个通过一级或多级软件设计、开发阶段编写软件，并通过软件 交付渠道将软件从软件供应商送往软件用户的系统，是一个由多个上 游与下游组织相互连接形成的网链结构，参考 ICT 供应链架构，如下 图 2 所示。软件供应链安全指软件供应链上软件设计与开发的各个阶 段中来自本身的编码过程、工具、设备或供应链上游的代码、模块和 服务的安全，以及软件交付渠道安全的总和。软件供应链可以理解为 一个链条，在链条上的每一个环节都可能产生安全威胁，包括软件设 计与开发的各个阶段中来自所使用的研发工具、设备、本身的编码过 程，或供应链上游的代码、模块和服务所带来的安全风险, 以及在软 件交付渠道及使用过程所存在的安全风险。 3 云计算开源产业联盟 软件供应链安全发展洞察报告 ICT产品/系统/服务 采购方(终端客户） 供应商 供应商 供应商 供应商 供应商 供应商 …… 一级供应商 供应商 …… 二级供应商 采购方 供应商关系 供应方 供应商 供应商 …… 供应商 供应商 …… 供应商 …… 三级供应商 …… …… 图片来源：GB∕T 36637-2018 图 2 ICT 供应链架构示意图 软件供应链安全面临设计开发复杂化、开源引入、快速交付、交 m o c .