而软件供应链安全,就是指在软件开发、交付、部署和维护过程中,保护软件生态系统中的各个环节免受恶意活动和威胁的影响,以确保软件的可信性、完整性、可用性、合规性、机密性和业务连续性。
软件供应链安全对于确保软件交付的完整性、可信性和可靠性至关重要。随着容器、中间件、微服务等技术的演进,软件行业快速发展,但软件供应链也愈发复杂,全链路安全防护难度不断加大。软件供应链安全事件频发,对公民隐私、财产安全乃至国家安全造成重大威胁。因此,维护软件供应链安全,对于保护公民隐私、财产安全,以及维护国家网络空间安全具有深远意义。
近年来,软件供应链攻击的发生频率呈明显增长趋势,攻击者利用软件供应链的复杂性和互联性,通过恶意软件植入、代码篡改、供应链流程破坏等方式,实现了对目标软件的深度渗透和控制。软件供应链的安全风险遍布软件整个生命周期,具体概括为以下:
软件供应链开发测试环节安全风险。开发环节因缺乏统一安全发布、未检测工具集、编程偏重易用性忽视安全性导致的安全问题。
软件供应链交付环节安全风险。交付环节主流渠道监管缺失、个人发布泛滥、软件易被篡改及捆绑安装等安全风险。
软件供应链终端应用环节安全风险。终端应用环节则受盗版软件泛滥、安装源及工具问题、未经认证升级包及混杂补丁包、应用卸载复杂残留及第三方卸载工具隐患等问题。
强化供应链安全认识。在应对软件供应链安全挑战时,首要任务是提升全员对供应链安全的认识,积极主动地识别潜在风险,从源头到终端,全面增强对供应链各环节安全性的重视程度。
深耕软件供应链安全管理。对信息系统软件进行软件供应链安全检测评估等方式强化软件供应链安全管理工作,通过代码审计、渗透测试、软件成分分析等方式方法多维度深入挖掘可能存在的安全隐患,通过全方面系统的检测,提高软件供应链的整体安全性与稳定性。
持续开展供应链安全治理。贴合实际持续完善软件供应链安全相关要求,依托第三方权威测评机构定期开展全方面、系统化的安全检测评估,及时有效识别安全风险、调整安全策略,确保软件供应链的安全稳定。
来源:公安部网安局