随着科技的飞速发展，软件已成为推动经济发展、社会运行以及工作生活不可或缺的重要力量。据工信部2023年统计，中国地区仅移动应用程序（App）的数量就已超过260万，且这一数字仍在持续增长。这些应用涵盖了PC端应用软件、移动APP软件以及嵌入式软件等多个种类，极大地丰富了用户的选择，也为软件供应链的安全管理带来了前所未有的挑战。

　　近期，黎巴嫩在短短两天之内接连发生寻呼机与对讲机爆炸事件，迅速引发全球关注。随着各界对攻击者引爆手段的种种推测，一个显而易见的“真相”逐渐浮现——这很可能是一起“供应链攻击”。此类攻击通过瞄准产品或服务在生产、维护及流通等环节中的脆弱点，来实施恶意攻击，凸显了当前技术环境中供应链安全的紧迫性。

　　软件供应链安全风险多种多样，贯穿开发、测试、集成、部署各个环节，主要包括恶意代码注入、依赖关系风险、开发环境恶意篡改以及不安全的交付渠道等。黑客通过在这些环节植入恶意代码或操纵软件组件，能够窃取敏感信息、破坏系统功能，甚至威胁到国家网络安全。据相关数据显示，近年来软件供应链安全事件频发，且攻击手段日益隐蔽和高效，给企业和国家带来了巨大损失。

　　面对软件供应链安全的严峻形势，国家层面给予了高度重视，并采取了一系列措施来加强防范和应对。通过出台相关法律法规，如《网络产品和服务安全审查办法》和《网络安全审查办法》等，明确了软件供应链安全的管理要求，为行业树立了安全标准。同时，国家还积极推动软件供应链安全技术的研发和应用，鼓励企业加强自主创新，提升软件安全检测能力和水平，以应对日益复杂的安全威胁。

　　2024年11月1日，我国即将实施《信息安全技术-信息技术产品供应链安全要求》(GB/T43698-2024)，该标准从软件供应链安全风险管理要求、供方安全要求和需方安全要求三个维度提出了软件供应链的安全要求，可指导供需双方开展风险管理、组织管理和供应活动管理，同时为第三方机构开展软件供应链安全检测和评估提供依据。

　　作为PC端应用软件、移动APP软件、嵌入式软件等各类软件的需求方，我们该如何依照国家条例、办法和标准规范开展软件供应链风险应对工作，保障软件供应链安全呢？国投智能300188）首席技术官（CTO）认为，应该从以下三个方面应对：

　　软件开发阶段是软件供应链安全的首要环节，应跟踪整个开发过程并对开发过程的关键节点进行控制，提升软件供应链安全。

　　一是软件需求方应选择具备信息安全资质的开发商，应具备的资质包括ISO 27001、CMMI-SVC、COBIT等国际标准或行业认证。

　　二是软件开发商应具备安全思维并能通过相应的工具辅助开发过程，例如开发商应具备DevSecOps开发思维，应把安全工作融入软件开发的全生命周期，并对各个过程加以控制。

　　三是软件需求方应对项目节点成果进行跟踪，应设置里程碑节点，在相应节点组织软件开发商进行汇报，及时发现开发过程中存在的安全隐患并加以控制。

　　软件交付阶段是软件供应链安全的重要环节，应在软件产品交付使用前开展第三方安全检测评估，强化软件供应链安全。

　　一是漏洞检测，可采用人工结合工具的方式开展，人工方式主要是组织经验丰富的渗透工程师模拟黑客的手段，对软件系统开展渗透性攻击测试，发现软件存在的各类漏洞；工具方式主要是采用安全检测工具箱，从软件自身、软件依赖的生产环境等多个维度开展自动化扫描，发现软件运营过程中可能存在的漏洞。

　　二是后门检测，除部署定制化开发或已获取版权的商业性软件外，日常工作可能还会用到开源的、免费的软件，针对此类软件应采用静态、动态相结合的调试方式对软件进行检测，发现其可能存在后门或绑定的恶意程序。

　　三是数据检测，软件的最终形态是对各类数据进行处理并反回处理结果，数据处理的全过程包括数据的采集、存储、使用、加工、传输、提供、公开、删除等，所以在软件交付的环节，应采用技术手段对数据处理的全过程开展检测工作，发现数据处理各个过程可能存在的不安全行为。

　　软件使用阶段是软件供应链安全的关键环节，应在软件产品使用过程中加以有效管控，保障软件供应链安全。

　　一是建好软件供应链管理体系，软件需求方应建立软件供应链安全的管理组织、管理制度，并制定相应的保障措施，形成可持续性的管控机制，从软件的全生命周期开展供应链安全管理工作。

　　二是管好应用软件资产台账，只有掌握自身使用的软件情况，才能更好地对软件进行安全管理，因此摸清家底是安全管理的前。