软件供应链安全具有如下特点：

1.攻击门槛低

• 受攻击面加大
  

• 安全防御存在木桶效应，攻破一点即可撕开防御体系
  

2.隐蔽性强

• 软件供应链存在多个上游环节
  

• 可以通过任何一点进行攻击隐蔽，难以进行全链路发现和溯源

3.影响范围广

• 软件供应链具有天然扩散属性
  

• 分发渠道大多难以管控，下游用户基数较大
  

近年，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也愈加严重，其中，开源软件的安全问题尤其值得关注。

（一） 供应链安全事件持续高发软件供应链安全事件高频发生。供应链攻击可谓无处不在，在软件生命周期的各个环节中、软件产品的各种元素都可能发生。                                     

（二）主要软件供应链攻击类型

软件产品的生命周期包括设计、生产、交付、部署、使用及运营、结项等阶段。面向此生命周期所涉及的分工协作、联合攻关、平台环境等就是软件供应链的主要内容，软件供应链的主要攻击类型也与这些环节相关。生产方面涉及软件产品的开发、集成、构建等，此阶段的供应链安全问题主要包括三类：

1.是针对软件生产要素的攻击，即攻击者利用安全漏洞、后门等修改编码环境、源码库等开发工具或软件自身，植入恶意代码，并经网络、存储介质等进行传播，用户下载使用后，带入风险；

2.是开发者对所使用的第三方软件，尤其是开源组件未经安全测试而直接使用，不了解其中的安全漏洞和法律风险；

3.是软件产品构建时，在产品容器化、编译和链接、打包等过程中，使用的工具或产品对象本身被恶意修改而带来的安全风险。

交付和运营阶段涉及软件产品的发布、传输、下载、安装、补丁升级等，互联网或移动传输介质是本环节重要手段。在发布和下载方面，发布渠道或商城如若对软件安全性缺乏分析和测试则会存在潜在风险；攻击者可通过捆绑攻击，在常用软件中捆绑额外功能，这些功能如果涉及用户隐私、信息的收集，则后患无穷；针对发布站点的攻击，如域名劫持（DNS）、内容分发系统（CDN）缓存节点篡改，会使用户下载存在恶意代码或者后门的软件。在软件更新和升级方面，攻击者可能通过中间人攻击替换升级软件或者补丁包，诱导用户从非官方发布渠道下载，用以达成攻击的目的，也可能使用捆绑攻击在升级包中增加额外软件功能。

（三）开源安全问题应特别关注Gartner 报告曾指出，在当前 DevOps 之类的开发模式之下，应用程序中大部分代码是被“组装”而不是“开发”出来的。据统计，超过 95% 的组织在业务关键 IT 系统中都主动或被动地使用了重要的开源软件（OSS）资产；Forrester Research 研究表明，应用软件 80%~90% 的代码来自开源组件。因此，开源组件的安全直接关系到信息系统基础设施的安全，从前表中可以看出，开源安全现状不容乐观，已成为软件供应链安全问题增长的重要因素。

（四）供应链攻击频发原因分析生产模式的变化。用户对软件功能、应用实效等方面的需求逐渐走高，这要求开发者在短时间内实现相应功能，还要持续不断地进行迭代。软件系统往往是自主研发、开源获取、外包开发、商业购买等多种来源的部件组合而成，为响应快速开发的需求，软件供应链中第三方来源的如开源、外包、商业等成分软件的占比会增加，继而引入更多安全隐患，增加了软件安全评估的难度，提高了软件供应链安全风险。

软件系统规模越来越大，程序逻辑越来越复杂，对软件的理解和分析也越来越难，这也造成了对软件把关和分析技术的门槛逐渐增高。另，开源、库文件等提高了代码复用率，但在算法、结构、逻辑、特性等复用的同时也带来了缺陷、漏洞等风险的复制，增加了供应链的攻击面，造成某一点问题的大面积爆发。

虽然我国已出台了一系列针对软件供应链安全的法规和标准，但包括风险的发现、分析、处置、防护能力在内的软件供应链安全管理水平仍待续提升。

（一） 政策层面建议国家和行业监管部门继续完善和制定软件供应链安全相关的政策、标准和实施指南，建立长效工作机制；建立国家级/行业级软件供应链安全风险分析平台，具备系统化、规模化的软件源代码缺陷和后门分析、软件漏洞分析、开源软件成分及风险分析等能力，及时发现和处置软件供应链安全风险。

（二） 用户层面建议政企用户参照监管要求及成功案例，明确自身软件供应链安全管理的目标、检查内容、工作流程、责任部门等；采购商用现货软件时，充分评估供应商的安全能力，与其签署安全责任协议，要求提供所使用的第三方组件/开源组件清单，并对出现的安全问题提供必要的技术支持；在委托第三方定制开发软件系统时，遵循软件安全开发生命周期管理流程，对软件源代码进行安全缺陷检测与修复，并重点管控开源软件的使用，建立开源软件资产台账，持续监测和消减所使用开源软件的安全风险，建议使用伴随研发生命周期的代码检测工具，形成安全开发的生态管理体系。

（三） 厂商层面建议软件产品厂商提高安全责任意识，严控产品安全质量；建立清晰的软件供应链安全策略，明确相关的管理目标、工作流程、检查内容、责任部门等；严控上游，尤其重点管控开源软件的使用，建立开源软件资产台账，采用开源安全治理工具，持续监测和消减其安全风险；严控自主开发代码的质量，采用软件源代码安全分析工具，持续检测和修复软件源代码中的安全缺陷和漏洞；建立完善的产品漏洞响应机制，包括产品漏洞信息的收集、漏洞报告渠道的建立和维护、漏洞补丁的开发和发布、客户端漏洞应急响应和修复支持等。