数字化时代，软件无处不在。软件已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。

软件产品的生命周期包括设计、生产、交付、部署、使用及运营、停止等阶段。面向此生命周期所涉及的分工协作、联合攻关、平台环境等就是软件供应链的主要内容，软件供应链的主要攻击类型也与这些环节密切相关。

生产阶段涉及软件产品的开发、集成、构建等，此阶段的供应链安全问题主要包括三类:

• 第一类是针对软件生产要素的攻击，即攻击者利用安全漏洞、后门等修改编码环境源码库等开发工具或软件自身，植入恶意代码，并经网络、存储介质等进行传播，用户下载使用后，引入风险;

• 第二类是开发者对所使用的第三方软件，特别是开源组件未经安全测试而直接使用，不了解其中的安全漏洞和法律风险；

• 第三类是软件产品构建时，在编译和链接、产品容器化、打包等过程中，使用的工具或产品对象本身被污染或恶意修改而带来的安全风险，如 Codecov 事件。

  
  

针对如上问题，酷德啄木鸟CodePecker系列软件供应链安全解决方案，可在软件生产过程中，从根源有效阻断软件开发过程中所遇到的供应链安全问题。

安全漏洞和恶意代码植入，给软件带来了安全风险，CodePecker源代码缺陷分析系统（SAST）“补阙”将静态代码分析技术与应用开发自动化工作流中涉及的安全检测方式相结合，提供代码安全防护能力。

面对第三方组件使用和产品部署打包过程中遇到的人为恶意修改等问题，CodePecker软件成分分析系统（SCA）“析微”可精准捕捉风险所在坐标，助力开发团队降本增效。

随着安全技术的普及和发展，酷德啄木鸟的业务领域也已突破，不仅钻研静态环境下的合规隐患或原始缺陷问题，还涉猎到动态环境下的复杂安全隐患。

与时俱进，携手共赢。酷德啄木鸟将不断打磨软件供应链安全解决方案，为用户提供全面、稳定、高效的防御武器，为我国数字化建设垒砌安全基座。