透视软件供应链，携手应对安全挑战 软件供应链安全 技术白皮书 件 供 链 安 全 技 术 白 皮 应 安 全 软 供应 挑 战 软 书 透视 件 链 ，携 手 应 对 软件供应链安全技术白皮书 关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于 2000 年 4 月，总部位于北京。公司于 2014 年 1 月 29 日在深圳证券交易所 创业板上市，证券代码：300369。绿盟科技在国内设有 50 余个分支机构， 为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企 业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运 营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗 设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业 的中国品牌。 中国网络空间新兴技术安全创新论坛， （简称“新安盟”， “CCSIA”）， 在中国产学研合作促进会的指导下成立，由中国工程院方滨兴院士担任 理事长，中国科学院信息工程研究所作为秘书长单位，主要任务是应对 新兴技术及其应用给网络空间安全带来的机遇和挑战，汇聚行业内各方 力量，推动核心技术突破、产品和服务创新。 版权声明 为避免合作伙伴及客户数据泄露 , 所有数据在进行分析前都已经 过匿名化处理 , 不会在中间环节出现泄露 , 任何与客户有关的具体信息， 均不会出现在本报告中。 2 推荐序 软件供应链安全作为现代供应链安全的重点考虑因素之一，是保障我国新基建稳步 建设和落实网络强国战略的重要领域。软件供应链安全需要重点关注以下两点。 一是要靶向聚焦、着力剖析供应链风险产生的内部动因和运行机理。近年来，供应 链安全事件频发。随着 SDX 和低代码等技术在数字化转型浪潮的广泛应用，软件开源 组件化将成为势在必行的技术演进方向，而由于其本身的软件生产机制特征，网络安全 风险的攻击面及风险环节会呈现发散和无规则逻辑状态，因此供应链风险的内部动因和 运行机理尤其是业务数字化的内涵值得网安领域重点关注。 二是勿管中窥豹、从广义供应链安全的观测视角提出软件供应链风险对策。以供应 链所在行业为中心视角研究软件供应链安全问题是一种挑战，行业发展对象将愈发依赖 于数字化转型，原有的安全业务和业务安全范式都将被重塑。因而，以数字业务化作为 观测出发点，以广义供应链安全作为观测着力点，以软件供应链安全作为观测落脚点， 各行各业对网络安全产业的保驾护航定位将会更加明确。 作为业界领先的网安代表性企业，在新安盟指导下，绿盟主持撰写的软件供应链安 全白皮书将带来一个崭新的全景视角，具有积极的借鉴价值，为网安行业的政产学研用 健康生态如何推动提供有意义的模式示范。 中国科学院大学教授　翟立东 CONTENTS 执行摘要 1ﾠ 001 软件供应链安全威胁与趋势 003 1.2 软件供应链攻击的发展趋势 007 2ﾠ 1.1 软件供应链面临的安全威胁 004 供应链安全国内外形势 010 2.2 国内外供应链安全标准与实践 015 3ﾠ 2.1 国内外供应链安全政策与发展 011 软件供应链安全技术框架 019 3.2 软件供应链安全理念 021 3.1 软件供应链安全 3.3 软件供应链安全技术框架 4ﾠ 020 027 软件供应链安全关键技术 028 4.2 软件供应链安全检测技术 039 4.1 软件成分清单生成及使用技术 4.3 软件供应链数据安全技术 029 054 5ﾠ 软件供应链安全解决方案 058 5.2 供应链安全管控 067 6ﾠ 5.1 供应链安全监督 059 行业、企业最佳实践 080 6.2 交通运输企业供应链安全监督检查实践 082 7ﾠ 6.1 银行业金融机构信息科技外包安全实践 081 典型供应链攻击案例复盘 085 7.2 开源软件安全风险 Log4j2 漏洞事件 088 7.1 IT 管理供应商 SolarWinds 供应链攻击事件 086 8ﾠ 091 附表：软件供应链安全风险表 093 软件供应链安全总结与展望 软件供应链安全技术白皮书 执行摘要 习近平总书记在二十国集团领导人第十六次峰会第一阶段会议发表的重要讲话中强调： “要维护产业链供应链安全稳定，畅通世界经济运行脉络。” 作为世界第二大经济体，我国在世界局势不断变化的今天依靠自身供应链韧性保持了强 有力的经济增长与制造业产业转型升级持续稳步推进。信息和通信技术（Information and Communications Technology，简称 ICT）供应商、第三方供应商、集成服务企业和服务提 供商共同组成的 ICT 产业链承担着我国产业从工业化向数字化转型升级的重要任务。2018 年 以来，中兴、华为、大疆等一系列事件，暴露出我国 ICT 产业链上游核心技术受制于人的问题， 缺乏核心技术使我国网络安全与信息化建设存在巨大的风险与阻碍。尤其在近期俄乌冲突期 间，西方社会对俄罗斯进行了全方位的制裁，同时将 ICT 供应链制裁上升到了战略层面对俄 罗斯进行打击，这一行为也为我国敲响了警钟。软件供应链作为 ICT 供应链的重要组成部分， 是各类关键信息基础设施平稳运行的重要基础，其关键组件的设计、开发、部署、监控和持 续运营等生命周期核心环节供给过程的安全可控成为网络安全的关键考量因素。 绿盟科技推出软件供应链安全技术白皮书，旨在从软件供应链安全威胁与国内外形势来 梳理软件供应链中存在的安全问题，提炼出软件供应链安全治理的核心理念、技术框架、关 键技术，并从供应链安全监管和控制方面给出解决方案和最佳实践，期望为读者带来全新的 技术思考，助力我国软件产业发展。本技术白皮书的主要观点如下： 观点 1：软件供应链威胁存在于软件供应链的全生命周期中，攻击的手段和实施的途径相较 其他攻击技术手段更加多元化，且难以防范。近几年软件供应链攻击安全事件激增， 软件供应链攻击已经成为重要的突破手段，其中利用开源社区、公共开源存储仓库 这类开源软件生态入侵事件尤为严重。开源软件供应链安全不可忽视，其重要性日 渐凸显。 观点 2：近年来，政府在供应链安全领域发挥着越来越重要的影响，但除积极方面之外，以 美国为首的部分发达国家政府在其中注入了过多地缘政治因素的考量，甚至将其制 定相关法规的权力作为国际竞争的工具，使其风险从通常意义上的网络安全风险上 升为供应链断供风险。另一方面，面对发达国家以法令出台、贸易制裁、技术出口 等手段带来的供应链跨境安全管控风险，中国、俄罗斯等国家立足国情，集中优势 资源开展核心技术攻关，提升自研自制能力，补齐短板、发展优势能力，加强对供 应链产品和服务的安全审查，逐步建立和完善供应链安全风险管理体系。 001 执行摘要 观点 3：为应对软件供应链的威胁，上游企业需要构建自身产品的软件成分清单来梳理软件 供应链信息，向下游企业和用户清晰、透明的提供管理软件供应链所需要的基础条件。 软件成分清单依据识别成分的粒度，可以分为不透明、微透明、半透明和透明几个 阶段。透明程度高的软件成分清单，能显著提升最终用户进行软件供应链安全评估 的准确性。 观点 4：软件供应链安全包括整个软件的开发生命周期，在开发阶段漏洞的引入不止在代码 编写阶段，还有所依赖的开源组件、开发和构建工具等，依照软件的开发和构建过程， 企业需要建设开发过程安全评估能力。在软件交付阶段，作为供应商，除保证交付 软件安全外，也应将软件成分清单一并交付给下游企业，促使整个软件供应链的上 下游都具备依据安全通报、威胁情报监控等第三方信息能够分析、评估软件供应链 安全的基本条件。供应链软件产品交付运行后，供应商应在产品的生命周期内提供 安全保障服务，对产品漏洞及时修复，最终用户也应根据供应商所提供的软件成分 清单纳入企业资产管理范围，定期对资产进行安全评估，结合漏洞预警，对受影响 的产品进行加固和修复。 观点 5：软件供应链风险贯穿了产品的整个生命周期，结合近年来所发生的供应链攻击和入 侵事件，我们需要从监管层面加强供应链产品安全认证管理，提供企业软件 SBOM 托管和可信认证服务，企业也需要完善供应链资产管理和安全检查，可借助 SBOM 知识图谱理清企业供应链依赖关系，从而在监测到预警时能够从容应对。 观点 6：软件供应链在不断的技术迭代与产业发展中逐渐形成了包含复杂技术体系、多元产 品组件及各路开发者、供应者与消费者为一体的庞大产业生态，大量新技术的引入 令软件风险防护范围从个体层面提升至供应链层面，安全视角发生了重大变化。整 个软件供应链缺乏有效的统筹与管理，将安全建设寄托于技术人员的自我道德约束 无疑是一种“赌博”。我们急需建立供应链安全管理机制，杜绝“自我约束”的无 监管行为。通过政策引导与配套法律建设保证软件供应链安全能够牢牢的把握在中 国人自己手中，形成可信的软件供应链体系，真正造福社会。 002 1 软件供应链安全威胁与趋势 软件供应链安全威胁与趋势 1.1　软件供应链面临的安全威胁 经济全球化发展给企业发展带来了更多机遇和成长，基于价值链的实现，促进了供应链 的全球化，多样化和复杂化，同时如何管理供应链的问题给企业带来了更大的挑战和威胁。 软件供应链涉及环节复杂，流程和链条长，供应商众多，暴露给攻击者的攻击面越来越多， 攻击者利用供应链环节的薄弱点作为攻击窗口，供应链的各个环节都有可能成为攻击者的攻 击入口。既有传统意义上供应商到消费者之间供应链条中信息流的问题，也有系统和业务漏 洞、非后门植入、软件预装，甚至是更高级的供应链预制问题。 从软件供应链全生命周期考虑，可以简单分为上游安全、开发安全、交付安全、使用安 全和下游安全，安全威胁存在于软件供应链的全生命周期中。 一、软件供应链上游安全 为实现业务需求的独特性，很多公司需要根据业务需求开发定制化软件或者使用云服务 产品，可能会使用软件供应商或者云服务提供商的产品，那么公司对于上游企业面临的风险 是否有考虑到呢？比如采购上游企业的软件产品，软件供应商是否能保证对软件使用的核心 组件可信且组成清晰，在爆发软件内部漏洞的事情下，具备快速的定位组件风险的能力。软 件在面临外部攻击风险时，是否具备一定的抗攻击能力，至少不会漏洞百出。不管是内部漏 洞还是外部攻击，软件供应商是否有能力快速定位到漏洞，及时评估漏洞、代码的风险，能 提供持续的更新能力。上游企业安全评估能力强，那么将更好的预防风险发生，安全评估能 力弱，随之而来的存在脆弱性风险的