ISC2023软件供应链安全洞察报告85页.pdf

软件供应链安全洞察 关于ISC ISC成立于2013年，是国内唯一专注为数字安全行业赋能的平台。打 造集会展服务、咨询服务、媒体服务、生态创投、生态联盟、产业导入“六 维一体”的生态模式，全面赋能国家、政府、行业、企业、个人。过去10 年，ISC秉承创新引领、智慧洞察、专业高效的宗旨，创办了亚太地区乃至 当今世界规格高、辐射广、影响力深远的全球性安全峰会——互联网安全 大会，树立了中国网络安全产业名片。 版权声明 本报告版权属于ISC，任何组织、个人未经授权，不得转载、更改或者 以任何方式传送、复印、派发该报告内容，违者将依法追究法律责任。转 载或引用本报告内容需要注明来源，同时不得进行如下活动： ·不得擅自同意他人转载、引用本报告内容。 ·不得引用本报告进行商业活动或商业炒作。 ·本报告中的信息及观点仅供参考，ISC对本报告拥有最终解释权。 专 I 家 I 寄 I 语 当今世界处于数字化转型过程中，社会运行对软件的依赖日益加深，2020年底被爆出的SolarWinds攻 击及2021年底爆发的Log4J2安全漏洞，引发全球对软件供应链安全的担忧。 由于开源软件的广泛采用、基础架构云化、以及软件开发全球供应链的原因，软件供应链安全问题的解 决变得尤为困难，ISC推出的这份《软件供应链安全行业洞察报告》可以为国内软件供应链安全问题的解决提 供一些很有价值信息。 白皮书介绍了软件供应链安全的重要性、现状、风险、攻击类型、治理指南以及落地实践方案等方面的 内容。白皮书从市场动态、技术发展、政策法规等方面分析了软件供应链安全的现状，同时还对软件供应链 安全风险进行了分析，包括软件供应链的构成要素、软件开发生命周期阶段、软件供应链威胁行为类别以及 软件供应链安全风险影响范围等维度。接着，对软件供应链攻击类型进行了分析，包括开发阶段、分发阶 段、部署阶段和维护阶段等不同阶段的攻击类型。在此基础上，提供了软件供应链安全风险治理指南，包括 软件供应链风险治理体系建设、软件供应商风险管理以及软件开发生命周期风险治理指南等方面的内容。最 后，介绍了软件供应链安全落地实践方案，包括悬镜软件供应链安全治理与运营解决方案在某金融机构的落 地实践案例和某能源集团软供安全漏洞自动挖掘和修复落地实践等方面的内容，同时也探讨了软件供应链安 全未来的发展趋势。 软件供应链安全是当今网络空间安全的热点问题之一，一系列法律法规、最佳实践、技术、产品、流程 还在在快速的完善过程中。关注软件供应链安全，保护信息安全、组织声誉、降低法律风险、提高业务持续 性、应对市场竞争并提升用户信心。 ———— 赛博英杰创始人 谭晓生 报告从软件供应链的“安全风险、攻击类型、风险治理、未来趋势”等方面做出论述和洞察，并且附上了 真实有效的落地案例，内容全面、技术详实、观点清晰，可作为各组织与机构在规划、实施软件供应链安全 工作中的重要参考。 ———— 数世咨询创始人 李少鹏 近年来软件供应链安全问题备受关注，但软件供应链安全范围不清晰，定义模糊，涉及技术和安全类型 复杂。本书结合安全形势，抓住软件供应链安全的核心，预测了软件供应链安全的发展趋势，对软件供应链 的认知提升具有重要意义。 ———— 赛迪顾问业务总监 高丹 数字化浪潮中，软件供应链安全不仅是技术上的挑战，更是企业战略层面的迫切问题。本报告聚焦于揭示 其技术和战略层面挑战，强调解决之道非一时之功。全球视野下，深入剖析软件供应链安全当前现状、问题及 风险，并提供全生命周期的安全方案。这份研究报告为行业从业者提供了有价值的信息和洞见，值得一读。 ———— 中国信息通信研究院 云大所开源和软件安全部主任 郭雪 当前软件供应生态愈发繁荣，然而软件供应链安全问题愈发严峻。ISC发布的2023软件供应链安全洞察， 从软件供应链的安全现状、风险分析、攻击类型、风险治理以及落地实践案例等方面进行了深入分析，对软件 从业人员和安全从业人员以及相关企业都有很好的启示。希望软件供应链安全的产学研用能真正打通，进一步 提升我