供应链安全体系认证，可信云 | “软件供应链安全标准体系”解读

2022年7月21日，由中国信息通信研究院、中国通信标准化协会联合主办的“2022年可信云大会”在京隆重召开。零信任与云安全分论坛于7月22日召开，中国信息通信研究院云计算与大数据研究所开源和软件安全部的工程师王媛媛介绍了云时代下的软件供应链安全研究背景，深入阐述了中国信通院软件供应链安全标准体系。

王媛媛介绍了云时代下的软件供应链安全研究背景。随着云计算的持续发展，云平台也将承载着越来越多重要数据和用户的关键业务，云平台会成为黑客攻击的一个重要目标，企业在选择云服务商时会把服务安全性放在优先考虑的位置。基础设施需要技术平台的支撑，云时代下的软件供应链发生了跃迁式的演进，软件供应链安全防护难度不断加大。

近年来软件供应链安全事件频发，成为业界关注焦点。软件供应链安全事件频发对于用户隐私、财产安全乃至国家安全造成重大威胁。软件成为社会运转组件的同时，软件供应链安全直接关系着关键基础设施和重要信息系统安全，保障软件供应链安全成为业界关注焦点。

企业软件供应链安全管理能力尚未完全建立。据欧盟网络安全局2021年7月发布的《供应链攻击威胁局势报告》显示，预计2021年的供应链攻击数量将增加至上一年的四倍之多。《2021年软件供应链安全报告》显示，425名大型企业的IT、安全和主管中，64%的人报告称去年受到了供应链攻击的影响。

王媛媛介绍了软件供应链的概念。软件供应链是根据软件生命周期中一系列环节与传统供应链的相似性，由传统供应链扩展而来，包括第三方代码/组件引入、应用开发测试、渠道分发、交付下载使用等。在研标准定义：为满足软件供应关系通过资源和过程将需方、供方相互连接的网链结构，可用于将软件产品和服务提供给需方供应链安全体系认证考什么证赚钱多，包括协商、生产、交付、获取、维护、废止等过程。

软件供应链安全是指软件供应链上软件设计与开发的各个阶段中来自本身的编码过程、工具、设备或供应链上游的代码、模块和服务的安全，以及软件交付渠道及使用过程安全的总和。软件供应链安全的管理的基本动作可以分为两部分。一是软件供应链交界面安全管理，二是软件供应链内安全管理。

王媛媛分享了软件供应链安全也面临的五大挑战。一是设计开发复杂度提升，导致大量漏洞的产生。二是开源引入存在较大的安全风险。三是交付阶段，由于业界环境竞争激烈，很多企业会以快速上线为第一优先级，在安全保障上也是存在着一定的短板。四是交付机制上，传统的软件交付是以光盘等存储设备为载体，随着互联网技术的发展，也带来了新的软件供应链安全问题。五是使用阶段供应链安全体系认证，可信云 | “软件供应链安全标准体系”解读，软件补丁机制存在着被攻击的可能。

王媛媛介绍了软件供应链安全系列标准体系架构。分为四个部分：第一部分是软件供应链安全管理能力成熟度模型的标准，侧重软件交界面安全管理。第二部分是可信研发运营安全成熟度模型，侧重供应链内的安全建设。第三部分是软件物料清单的相关标准。第四部分是支撑工具能力要求。

王媛媛介绍了软件供应链安全管理能力成熟度模型。侧重于软件供应链交界面的管理，具有四个重点。一是针对软件来源进行安全审查，确保来源可信，包括供应商资质、开源组件来源等。二是第三方软件引入前进行安全测试评估，并建立评估模型，避免存在风险软件引入。三是构建软件物料清单，明确软件组件信息及各组件之间关系。四是建立动态安全防护机制，针对软件供应链安全事件有明确处置流程及团队。

目前组织软件供应链安全治理仍处于摸索阶段。目前以安全部门牵头为主，有些企业会成立一个虚拟团队，针对软件供应链安全做相应的管理。从整体来看，商业软件的供应链管理相对成熟，整个采购的流程是比较规范，但是针对开源部分，流程机制还处于建设过程中，尤其是软件物料清单还没有做到成熟的标准化。

王媛媛介绍了可信研发运营安全能力成熟度模型。研发运营安全是指在涉及需求、设计、研发、验证、发布、运营、下线的软件应用服务全生命周期之中，从初期便引入安全，采取相关技术与管理手段，避免漏洞与威胁的产生，加固应用服务安全，提升软件质量。

企业研发层面安全相对存在较多问题。在信通院的评估过程中发现，企业基本上会建立软件安全管理的组织结构，有明确的人员分工。但也存在着一些不足：比如安全考量的量化机制需进一步优化。整体来看在研发层面受攻击分析要求已经基本建立，需求挖掘编码安全和开源管控相对薄弱。在运营层面，安全防御技术相对成熟，但在安全反馈和主动防御加强层面需进一步加强。

王媛媛介绍了构建安全工具标准体系。该标准涉及到SAST、IAST、SCA、RASP的相关内容，主要有九大部分能力要求，分别是：扫描分析能力要求、灵活性能力要求、分析辅助能力要求、开发流程嵌入能力要求、拓展性能力要求、兼容性能力要求、部署能力要求、安全性能力要求和服务支持能力要求。王媛媛表示，在评估中共有7个测试例进行误报及漏报率交叉测试评估。

王媛媛分享了软件供应链安全工具评估结果的分析。目前相关工具产品功能已基本完善，工具检测缺陷类型与CWE、等国际级行业标准对标。

王媛媛介绍了软件物料清单标准。软件物料清单（SBOM）由传统物料清单概念扩展而来，指一个软件所包含的组件的列表信息，包含多个软件构建组件详情及供应链关系的正式记录。软件物料清单建设具有数据层，构建层，应用层的三大维度。

王媛媛分享了软件供应链安全生态建设。中国信通院会持续制定和完善软件供应链安全标准体系，目前包括两项团体标准，四项行业标准，两本白皮书和一些出版物，同时也会不定期的举办相关的会议。此外会根据标准展开相应的测试评估，目前已经有十多家企业通过了测试评估，他们分别为：平安银行、浙江移动、招商银行、绿盟、用友、爱数、深信服、奇安信、开源网安、腾讯云、酷德啄木鸟、悬镜。中国信通院成立了软件供应链安全实验室3S-Lab。实验室以联合多方的力量凝聚产业共识，推进软件供应链安全为目标，目前共有四十多家企业参与，涵盖行业重点用户、工具企业、软件开发企业等。

最后，王媛媛对软件供应链安全发展进行了展望。软件供应链未来的发展是无法靠一个企业完成的，它是一个生态共建的过程，在生态建设中会涉及到信息传递和相关标准化的建设，还涉及软件供应链安全关键技术的突破。

中国信通院会持续推进软件供应链安全技术、框架等相关研究，完善软件供应链安全标准体系，包括持续优化SBOM、产品安全基线标准等，这些成果会在今年年底发布。中国信通院也会进一步落地软件评估，包括3SM软件供应链安全管理能力评估、TSM可信研发运营安全能力成熟度评估、SAST/IAST等工具能力评估。今年年底也会发布下半年的软件供应链安全洞察报告。

延展阅读

信通院零信任成熟度标准解读！

20000信息安全管理体系认证，ISO27001信息安全管理体系认证

随着信息技术的迅猛发展，网络空间的信息安全问题也日益受到了各类组织的高度关注。未经授权的信息访问、恶意攻击、数据泄露等问题不仅会给企业带来巨大的经济损失，同时也会影响到企业的品牌形象和声誉。面对这些风险，如何建立有效的信息安全管理体系，保障企业信息的安全和完整性？信息安全管理体系认证应运而生。

是国际标准化组织（ISO）发布的信息安全管理体系国际标准，是全球公认的信息安全管理最高标准。认证的核心内容是建立起一套完整的信息安全管理体系，并通过不断的监管和评估，确保系统能够持续有效地发挥作用。 标准涵盖了信息技术的各个领域，包括网络安全、数据隐私、风险管理等方面20000信息安全管理体系认证，是信息管理、安全保障和风险控制的最佳实践标准。

认证的优势

1. 提高企业信息安全意识

通过认证，企业能够建立起完整的信息安全管理体系，使员工增强信息安全意识，认识到信息安全的重要性。企业会形成良好的信息安全保障体系20000信息安全管理体系认证，ISO27001信息安全管理体系认证，掌握信息系统的安全漏洞和风险，增强对网络攻击和恶意代码的预防能力，提高企业的信息安全保护水平。

2. 提高合作伙伴对企业的信任度

认证是企业向合作伙伴证明企业信息安全管理能力的有效方式。企业能够建立起权威的信息安全管理体系和数据保护机制，通过精细化、系统化的信息安全管理，提升合作伙伴对企业的信任度，使企业赢得更多的商业机会。

3. 可以降低企业信息安全风险

认证属于国际上最主流的信息安全管理体系，为企业管理决策提供了重要参考依据。通过认证，建立了规范、高效的信息安全管理体系，可以有效地降低企业面临的安全风险，提高信息安全管理的效率和水平，降低安全问题发生的概率和损失，从而保护企业的生命线。

4. 规范信息安全管理流程

认证可以规范企业内部信息安全管理规程和流程考证含金量排行榜，加强对信息安全管理的监管力度，使企业的信息技术资源更好地被配置和利用。企业需要对信息安全管理保持持续关注，不断优化和改进管理模式、管理系统和内部安全事务，从而更好地保障企业在经济和资金层面的价值和利益。

认证在信息安全领域具有极高的权威性，是企业在信息管理保障、风险控制和安全保护方面的最佳实践，通过认证，能够有效地提高企业的管理水平和核心竞争力，为企业的可持续发展提供了珍贵而重要的保障。

本文由盛赞企业管理咨询服务平台（）整理发布，盛赞企业管理咨询服务平台包括认证、认证、认证、隐私信息管理体系认证、ITSS认证、涉密信息系统集成资质乙级、CSMM认证软件能力成熟度评估、DCMM认证数据管理能力成熟度评估、ITSS数据中心能力成熟度评估、DSMM认证数据安全成熟度评估、信息系统建设和服务能力评估、CCRC信息安全服务资质、国测信息安全服务资质、CMMI认证、SPCA双模认证、移动互联网应用APP安全认证、测量管理体系认证、测绘资质等服务。