软件供应链安全政策汇编

扫码加入知识星球：网络安全运营运维

下载全套资料

数字化时代，软件已成为支撑现代社会运行的核心元素，并形成供、需方之间传递软件产品及服务全过程的复杂软件供应链结构。该网链系统从需求设计到开发、部署的全生命周期均可引入安全隐患，恶意代码注入、第三方组件漏洞利用、供应链攻击等威胁事件频发，软件供应链安全问题正呈现出复杂化、高危化的严峻态势。2024年7月,Gartner发布《Leader's Guide to Software Supply ChainSecurity》并预测，软件供应链攻击造成的损失将从2023年的460亿美元上升到2031年的1380亿美元。《2024中国软件供应链安全分析报告》显示，针对调研的1763个国内企业软件项目，开源软件使用率达100%，平均每个软件项目使用166个开源软件。监管层面同样面临重重挑战：开源技术的泛在化应用模糊了责任边界，第三方组件依赖导致供应链透明度不足，且现有政策法规对软件开发、交付、运维等环节的约束机制尚未完全覆盖。2024年7月的微软“蓝屏”事件更是向全世界敲响软件供应链安全防护的警钟，在这种背景下，构建软件供应链安全体系已成为维护网络空间主权、保障数字经济健康发展的战略要务。面对严峻的软件供应链安全威胁，我国高度重视，从国家战略层面统筹推进防护体系建设。2016年，国家互联网信息办公室发布《国家网络空间安全战略》并提出“重视软件安全，加快安全可信产品推广应用”，将软件安全纳入网络安全战略任务。2022年，《网络安全审查办法》和《关键信息基础设施安全保护要求》分别从顶层政策方面对关基行业软件供应链安全提出要求，将软件供应链安全提升至国家战略高度。此后，中央网信办牵头建立“五个统筹”工作机制，从政策引导、标准制定、技术攻关等多维度发力，形成关基领域供应链安全防护的良好局面。此外，公安部还通过“护网”等专项行动强化软件供应链攻击应对能力，引导行业提升代码审计、渗透测试等技术防护水平。2024年4月，国内首个针对软件供应链安全的国家标准GB/T43698-2024《网络安全技术软件供应链安全要求》正式发布，标志着我国软件供应链安全治理水平迈向新的高度。未来，我国将从被动防御转向主动治理，着力构建覆盖“开发-交付-运行”软件供应链全周期的动态防护体系，为数字中国建设筑牢安全根基。针对日益突出的软件供应链安全问题，上海供应链安全能力分中心于2024年8月成立软件供应链安全标准专班，配合公安部推动软件供应链安全标准体系的建立与完善。专班采用“扁平化+职能小组”模式，高效响应各类标准制定需求。专班由德昶安测总经理杨木超担任组长，成员覆盖多个供应链安全专业领域，通过协调配置各类行业资源，助力供应链标准体系建立工作稳步推进。专班自成立以来主要围绕供应链安全标准研究与制定，行业标准贯标与推广落地等两个方面开展工作，其中：标准研究与制定：开展行业调研与分析，梳理软件供应链安全现状、痛点及法律法规要求，配合公安三所完成标准草案编制及申报工作。在标准制定过程中，经过充分的专家论证与意见征集，通过多轮评审修订，确保标准的权威性与可落地性。标准推广与落地：构建“标准宣贯+工具赋能”双轮驱动模式，通过报告和推文发布、行业峰会宣讲及定制化培训来提升标准认知度，同步开发“供应链安全评估系统（一企一档）”自动化工具，提供软件供应链安全合规检测与治理的全流程支持，促进标准的广泛应用和有效落地。专班自成立以来，协助公安部第三研究所编制并提报供应链安全相关标准16项，其中团标2项，地标1项，行标11项，国标2项。目前，标准制定和申请工作仍在稳步推进中。专班积极配合有关单位的执法检查工作，协助公安三所深度参与公安部供应链安全专项检查推广、考核和总结的全流程，协助上海市局网安对全市供应链安全风险开展扫描检测，从监管测推动软件供应链安全业务推向深入。专班依托各大行业协会成立的供应链安全专委会，发布数字供应链安全行业倡议，并联合市区两级网安、网信部门及属地企业多次举办技术交流沙龙活动。通过供应链安全相关标准解读、技术分享及案例推广等形式，构建可持续发展的软件供应链安全生态。软件供应链安全法规汇编梳理了截至2025年1月，国内外出台的部分与软件供应链安全相关的政策法规和标准规范，为行业同仁提供参考。

| 来源：上海德昶安测技术服务有限公司