02-面向研发过程的软件供应链风险检测与治理-悬镜周幸.pdfVIP

面向研发过程的软件供应链

风险检测与治理

2024.11.09周幸

•软件供应链安全指软件供应链上软件设计与开发的各个阶段中来自本身的编码过程、工具、

设备或供应链上游的代码、模块和服务的安全，以及软件交付渠道和使用安全的总和。

•软件供应链可以理解为一个链条，在链条上的每一个环节都可能产生安全威胁，包括软件设

计与开发的各个阶段中来自所使用的研发工具、设备、本身的编码过程，或供应链上游的代

码、模块和服务所带来的安全风险,以及在软件交付渠道及使用过程所存在的安全风险。

软件研发环节软件供应环节软件使用环节

风险开发工具、开发环境、组件框架、交付供应方式、发布环境软件升级、运营期间被爆风险

测试工具、封装工具……

•外包开发/外采对交付的软件没有安全要求•软件升级代