前言

INTRODUCTION

隨著容器、微服務(wù)等新技術(shù)日新月異，開源軟件成為業(yè)界主流形態(tài)，軟件行業(yè)快速發(fā)展。但同時(shí)，軟件供應(yīng)鏈也越來越趨于復(fù)雜化和多樣化，軟件供應(yīng)鏈安全風(fēng)險(xiǎn)不斷加劇，針對(duì)軟件供應(yīng)鏈薄弱環(huán)節(jié)的網(wǎng)絡(luò)攻擊隨之增加，軟件供應(yīng)鏈成為影響軟件安全的關(guān)鍵因素之一。近年來，全球針對(duì)軟件供應(yīng)鏈的安全事件頻發(fā)，影響巨大，軟件供應(yīng)鏈安全已然成為一個(gè)全球性問題。如何更加全面、高效地保障軟件供應(yīng)鏈的安全對(duì)于我國(guó)軟件行業(yè)發(fā)展、數(shù)字化進(jìn)程推進(jìn)具有重要意義。

軟件供應(yīng)鏈安全作為國(guó)家近幾年新提出的網(wǎng)絡(luò)安全理念，不再是針對(duì)軟件供應(yīng)鏈上單一環(huán)節(jié)進(jìn)行安全防護(hù)，而是針對(duì)軟件供應(yīng)鏈全鏈路進(jìn)行安全監(jiān)控防護(hù)，薄弱環(huán)節(jié)的安全預(yù)防更是重中之重。

本白皮書著重分析了軟件供應(yīng)鏈安全，梳理了軟件供應(yīng)鏈的安全現(xiàn)狀，透過現(xiàn)狀全面剖析軟件供應(yīng)鏈的安全風(fēng)險(xiǎn)及面臨的安全挑戰(zhàn)，有針對(duì)性地提出如何對(duì)軟件供應(yīng)鏈的安全風(fēng)險(xiǎn)進(jìn)行防范與治理，系統(tǒng)闡述了軟件供應(yīng)鏈安全的防護(hù)體系及軟件供應(yīng)鏈安全的應(yīng)用實(shí)踐以供參考，最后白皮書結(jié)合現(xiàn)在軟件供應(yīng)鏈安全的發(fā)展趨勢(shì)進(jìn)行了全面的分析及展望。