法律声明 此报告为悬镜安全、ISC 与中国电信研究院联合制作，报告中的文字、图片、表格等版权均为悬镜安全、ISC 与中国电信研究院共同所有。任何组织、个人未经悬镜安全、ISC 与中国电信研究院授权，不得转载、更改或 者以任何方式传送、复印、派发该报告内容，违者将依法追究法律责任。转载或引用本报告内容，不得进行如 下活动： 不得擅自同意他人转载、引用本报告内容。 不得引用本报告进行商业活动或商业炒作。 本报告中的信息及观点仅供参考，悬镜安全、ISC 与中国电信研究院对本报告拥有最终解释权。 关于悬镜安全 悬镜安全，DevSecOps 敏捷安全领导者。起源于北京大学网络安全技术研究团队“XMIRROR”， 创始人子芽。专注于以代码疫苗技术为内核，通过原创专利级 " 全流程软件供应链安全赋能平 台 + 敏捷安全工具链”的第三代 DevSecOps 智适应威胁管理体系，持续帮助金融、车联网、 泛互联网、能源等行业用户构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构 演进的内生积极防御体系。 悬镜安全官网：https://www.xmirror.cn/ 关于 ISC ISC 是亚太地区乃至当今世界规格高、辐射广、影响力深远的全球性安全峰会。自 2013 年举办 首届以来，九年间已围绕网络空间治理、数据安全、威胁情报等前沿领域安全问题，举办超 20 场国际峰会，设立超 300 场分论坛，输出超 2000 个行业前沿议题。吸引来自中国、美国、俄罗斯、 以色列、德国等全球 30 多个国家的 2000 余位政要、行业领袖、网络安全专家深度参与，共话 全球网络安全生态。已经成为专业性、权威性、全球性的中国网络安全产业名片。 ISC 官网：https://isc.360.com/ 关于中国电信研究院 中国电信研究院是中国电信集团公司为适应集团发展和需要而组建的重要科研机构，伴随着通 信技术的发展已传承六十余载，一直秉承着中国电信企业发展引擎、技术灯塔、决策智库的定位， 承担通信行业创新产品的研发与落地、前瞻技术与应用的研究与攻关、企业运营中业务与技术 方向的决策支撑、安全领域全链条的研发与推广的使命，研发创新涵盖 5G、云计算、人工智能、 大数据、物联网、安全等多个领域。 参编机构 悬镜安全、ISC、中国电信研究院 导语 INTRODUCTION 数字化时代，软件定义万物，已逐渐成为支撑社会正常运转的最基本元素之一。随着软件开发 过程中开源应用的使用越来越多，开源应用事实上逐渐成为了软件开发的核心基础设施，混源软件 开发也已成为现代应用主要软件开发交付方式，开源应用的安全问题也已被上升到基础设施安全和 国家安全的高度来对待。 软件供应链开源化，导致影响软件全供应链的各个环节都不可避免受到开源应用的影响。尤其 是开源应用的安全性问题，将直接影响采用开源应用的相应软件供应链的安全。除了开源应用开发 者因疏忽导致的开源应用安全缺陷，还可能存在具有非法目的开发者故意预留的开源应用安全缺陷， 甚至还有恶意攻击者伪造的含有隐藏性恶意功能的异常行为代码被故意上传到上游开源代码托管平 台，实施定向软件供应链攻击。上述开源应用中存在的众多安全问题，导致软件供应链的安全隐患 大大增加，安全形式更加严峻。 而现代软件应用的供应链非常复杂，软件供应链安全管理是一个系统工程，亟需从国家、行业、 机构、企业各个层面建立软件供应链安全风险的发现能力、分析能力、处置能力、防护能力，整体 提升软件供应链安全管理的水平。为此，需要开展全方位的软件供应链安全检测防御方法和技术研 究。第一，开展软件成分动态分析及开源应用缺陷智能检测技术研究，突破高效高准确性的开源应 用安全缺陷动态检测技术的瓶颈，解决基于全代码遍历和代码片段级克隆技术比对的应用安全检测 难题，进一步实现对全球开源应用的全面安全检测，从源头堵住软件供应链安全隐患的源头。第二， 建立全球开源应用的传播态势感知和预警机制，攻克软件供应链中软件来源多态追踪技术，实现对 供应链各环节中软件来源的溯源机制。通过软件来源多态追踪技术监控开源应用的使用传播和分布 部署态势，全面把握有缺陷的开源应用传播和使用渠道，实现对全球开源应用及其安全缺陷的预测 预警。第三，建立国家级 / 行业级软件供应链安全监测与管控平台，具备系统化、规模化的软件源 代码缺陷和异常行为代码分析、软件漏洞分析、开源软件成分及风险分析等关键能力，为关键基础 设施、重要信息系统用户提供日常的自查服务，及时发现和处置软件供应链安全风险。第四，严格 管控软件供应链上游，尤其重点管控开源应用的使用，积极推动代码疫苗、SCA、区块链和 SBOM 等 新技术和标准在软件供应链安全领域的推广和应用，从根本上提供软件供应链安全的可靠保障。 随着 AI 和自动化恶意攻击技术不断升级，专门针对软件供应链的攻击趋势明显加强，软件供 应链已经成为网络空间攻防对抗的焦点，直接影响关键基础设施和数字经济安全，这也是为何中国 第一届“DevSecOps 敏捷安全大会”（DSO2021）的主题被定为“安全从供应链开始”的主要原因， 也是我们本次发布《软件供应链安全治理与运营白皮书（2022）》的主要驱动力。 此外，作为国内 DevSecOps 软件供应链安全的主要推动力量之一，从 2016 年初开始，我和悬 镜创始团队就一直希望能有机会结合自身在这几年的前沿技术创新研究和行业应用实践沉淀，可以 对软件供应链安全的治理与运营及 DevSecOps 敏捷安全体系的演进做一个系统性的梳理，并分享我 们这些年在不同典型用户场景探索的落地实践经验。因此，沉淀了我们近 5 年创新技术研究与全球 敏捷安全应用实践经验的《DevSecOps 敏捷安全》书籍应运而生。希望在这个新涌现新变化的前沿 技术领域，我们悬镜团队和业界同行一起，凭借长期的技术积累和突破来推动中国自己的安全产业 向新的未知空间做更深层次地探索，为产业搭建一个汇集“国家、行业、机构、企业“等综合力量 且“同向、同心”的软件供应链安全保障生态体系变得愈发重要。 2022 年 7 月 前言 网络安全关乎着国家安全、企业安全，近年来一直备受重视。尤其是云原生、AI、物联网等技术的不断更新发 展与应用，既推进了信息安全产业的快速发展，也衍生了更多的安全威胁。软件供应链安全作为网络安全的重 要部分，近年来爆发的安全问题也越来越凸显。了解软件供应链安全的相关内容、探究安全治理与运营解决方 案，是企业组织防患于未然的重要举措。 2021 年悬镜安全联合中国信通院发布了《软件供应链安全白皮书（2021）》，详细介绍了软件供应链安全现状、 安全风险分析、安全治理办法及安全实践等内容，对软件供应链安全做了框架性的梳理。鉴于近年来软件攻击 链安全事件高发，如何治理是众多企业亟需填补的理论洼地，对本模块加深认知才能占领实现软件供应链安全 的制高点。基于此，悬镜安全与 ISC 及中国电信研究院联合发布了《软件供应链安全治理与运营白皮书（2022）》， 重点讲述软件供应链安全治理体系和开源威胁治理，不断丰富软件供应链安全链条，实现整体安全。 本文的撰写依托于众多参考文献，融合悬镜安全、ISC 与中国电信研究院的专家经验。编撰过程难免有所疏漏， 欢迎广大读者批评、指正，共同推进软件供应链安全的发展。 7 目录 CONTENTS 1 软件供应链安全发展背景 1.1 政策驱动下的软件供应链安全 1.1.1 国内外政策法规 1.1.2 国内外标准 1 2 2 8 1.2 软件供应链安全的重要性 12 2 软件供应链安全现状 13 2.2 软件供应链风险典型特征 28 2.1 软件供应链安全事件高发 14 2.3 开源软件供应链攻击不断增多 32 2.4 软件供应链安全常见风险 3 软件供应链安全面临的挑战 34 36 3.1 开源技术的使用，安全风险加剧 37 3.1.2 许可证合规及兼容风险 38 3.1.1 安全漏洞风险 3.2 云原生技术的兴起，复杂度增加 3.3 软件供应链安全治理痛点 4 软件供应链安全治理体系 4.1 软件供应链安全治理框架 4.1.1 Google SLSA 框架 4.1.2 CNCF in-toto 框架 4.1.3 Microsoft SCITT 框架 4.1.4 软件供应链安全框架对比分析 4.2 治理体系构建 4.3 软件供应过程风险治理 4.3.1 软件来源管理 4.3.2 软件安全合规性评审 37 40 41 42 43 43 46 47 49 50 51 51 56 4.3.3 软件资产管理 56 4.3.5 安全应急响应 57 4.3.4 服务支持 4.4 人员管理 4.5 软件开发生命周期安全风险治理 4.5.1 建设全流程安全开发管控 4.5.2 构建完善的开发运营安全工具链 4.6 软件安全成熟度模型 4.6.1 可信研发运营安全能力成熟度模型 4.6.2 研发运营一体化（DevOps）能力成熟度模型 4.6.3 BSIMM 57 58 59 59 61 69 69 70 71 5. 软件物料清单 SBOM 73 5.2 建立通用的 SBOM 75 5.1 SBOM 的重要性 74 5.3 SBOM 的生成 79 5.4 SBOM 的优势 81 6. 开源威胁治理 83 6.2 开源威胁治理技术 86 6.1 开源软件安全风险 6.3 开源威胁治理的前提 6.3.1 树立开源风险意识 6.3.2 明确开源治理规范 6.3.3 建立开源治理制度体系 6.4 开源威胁治理阶段 6.5 开源的 SCA 工具 6.5.1 Snyk Open Source 6.5.2 OpenSCA 6.5.3 Veracode SCA 6.5.4 Dependency-Check 6.5.5 不同工具对比 6.6 商业化的 SCA 工具 84 87 87 87 88 90 91 91 93 97 100 101 108 7 软件供应链安全治理发展趋势 112 7.2 供应链和开源安全将成为容器安全中的新热点 114 7.1. 软件物料清单（SBOM）将得到更多实践 7.3 开源许可证风险将获得高度关注 7.4 RASP 会成为软件供应链安全运营的核心工具 8 总结 113 115 116 117 01 软件供应链安全发展背景 如今，敏捷开发模式下软件的开发以最快的速度将代码从 IDE 或 Git 存储库带到生产环境中， 加快了部署速度，提升了业务系统上线的效率。但软件供应链的安全性对组织来说同样重要， 因为任何一