軟件產品和服務關系生產、生活的各個方面，軟件供應鏈安全直接影響社會的穩(wěn)定運行。美國智庫大西洋理事會梳理的關于近 10 年發(fā)生的 115 起軟件供應鏈安全事件的報告顯示，開發(fā)工具污染、依賴混淆、升級劫持等軟件供應鏈攻擊對國家安全造成巨大威脅。由于缺乏標準化軟件供應鏈安全評估辦法和安全意識，供需雙方難以提前發(fā)現(xiàn)并消除潛在安全風險。因此，構建集管理和技術為一體、從開發(fā)環(huán)節(jié)到使用環(huán)節(jié)的全流程軟件供應鏈安全評估機制，提前發(fā)現(xiàn)軟件供應鏈安全風險，預防軟件供應鏈攻擊，將成為推動形成系統(tǒng)化、標準化軟件供應鏈安全解決方案的必然趨勢，也將成為保障網絡空間安全和維護國家安全的重要手段。

　　一、軟件供應鏈各環(huán)節(jié)安全風險眾多，缺乏安全評估，危害嚴重，影響范圍廣

　　軟件供應鏈可以劃分為開發(fā)、交付和使用三個技術環(huán)節(jié)，每個環(huán)節(jié)均存在安全隱患，然而，安全評估工作較少，導致安全事件時有發(fā)生。

　　在使用環(huán)節(jié)，由于用戶未對升級程序、組件、代碼等進行嚴格檢查，導致攻擊者在更新升級或者打補丁過程中植入惡意代碼控制用戶系統(tǒng)。例如，2020 年 12 月，美國“太陽風”公司（SolarWinds）的 Orion 軟件更新服務器上存在一個被感染的更新程序，導致美國多家企業(yè)及政府單位網絡受到感染。火眼公司（FireEye）將該后門命名為“日爆”（Sunburst）。根據《紐約時報》報道，美國財政部系統(tǒng)等約 18000 家美國關鍵基礎設施、聯(lián)邦機構和企業(yè)受到影響，部分受影響設備可由攻擊者完全操控。

　　在交付環(huán)節(jié)，軟件提供方通過網站平臺下載、鏡像安裝、固定銷售網點購買等方式完成軟件交付，由于交付渠道、交付環(huán)境等方面缺乏安全分析評估，為攻擊者利用捆綁軟件、下載劫持、依賴混淆等方法實施攻擊提供了可乘之機。例如，2017 年 8 月，安全研究人員發(fā)現(xiàn)知名電信設備制造商 Iris 生產的調制解調器存在五個安全漏洞，其中三個硬編碼后門賬號漏洞。由于未及時開展漏洞挖掘和修復工作，直接導致攻擊者利用三個后門賬號控制設備，獲取root 權限，安裝新固件乃至架設僵尸網絡。

　　開發(fā)環(huán)節(jié)處于供應鏈上游，具有開發(fā)工具安全評估難度大、開源代碼復用率高、軟件開發(fā)碎片化顯著等特點。攻擊者通過污染開發(fā)工具、復用開源代碼等方式控制上游軟件供應鏈，借助軟件開發(fā)碎片化顯著等特點促使污染代碼快速傳播影響中下游用戶，例如 2015 年 9 月爆發(fā)的蘋果開發(fā)工具XcodeGhost 事件。Xcode 是一款蘋果的開發(fā)工具，攻擊者利用當時通過官方渠道獲取 Xcode 官方版本困難的情況 , 在非官方渠道發(fā)布的 Xcode 注入病毒，導致 2500 多款使用該開發(fā)工具開發(fā)的蘋果 App 被植入惡意代碼，受影響的蘋果 iOS 用戶達 1.28 億。

　　軟件供應鏈攻擊雖然不直接攻擊用戶，但是能夠通過破壞上游供應鏈對下游用戶形成“隔山打牛”式攻擊，且危害巨大。目前，開發(fā)者對開發(fā)工具依賴度高，對安全風險防范主要依賴官方補丁；國內用戶使用破解軟件、綠色軟件現(xiàn)象較為普遍，而對其中漏洞、惡意代碼等安全威脅鮮有評估，產生的安全風險不言而喻。因此，在軟件供應鏈各個環(huán)節(jié)開展安全評估，盡早發(fā)現(xiàn)其中的安全問題并采取有效的修復措施，才能最大限度避免安全事件的發(fā)生。

　　二、美國在軟件供應鏈安全領域的法律法規(guī)、標準制度建設等方面起步較早，較為完善，對我國具有較好的借鑒意義

　　美國政府率先將供應鏈安全上升至國家戰(zhàn)略。早在 2008 年就開始制定相關政策法規(guī)，《國家網絡安全綜合計劃（CNCI）》要求在產品、系統(tǒng)和服務的整個生命周期內綜合應對國內和全球供應鏈風險；2009 年發(fā)布的《網絡空間安全評估報告》，將信息通信技術（以下簡稱“ICT”）供應鏈安全納入國家安全范疇。至此，美國率先完成了 ICT 供應鏈安全的框架結構設計，明確了其在國家安全中的重要地位。

　　美國多個國家組織機構自上而下貫徹落實《國家網絡安全綜合計劃（CNCI）》，逐步形成較為完善的軟件供應鏈安全管理及風險評估體系。2012 年，美國發(fā)布首個國家層級戰(zhàn)略報告《全球供應鏈安全國家戰(zhàn)略》，提出安全和高效兩大目標。2013 年至2019 年，基于上述戰(zhàn)略，美國國家標準與技術研究院、國土安全部、國家網絡安全促進委員會等機構先后發(fā)布《聯(lián)邦信息系統(tǒng)與機構供應鏈風險管理實踐》《加強國家網絡安全——促進數字經濟的安全與發(fā)展》《供應鏈風險管理計劃》《聯(lián)邦信息技術供應鏈風險管理改進法案》，充分評估軟件供應鏈開發(fā)、交付和使用三個環(huán)節(jié)的安全風險，并提供評估機制，形成了較為完善 ICT 供應鏈安全風險評估體系。

　　美國政府對其軟件供應鏈涉及外國對手的部分和聯(lián)邦政府使用的軟件和服務空前重視，要求迅速實施更加嚴格的評估機制，進一步完善安全評估體系。2019 年，特朗普政府發(fā)布《確保信息和通信技術及服務供應鏈安全》行政令（13873 號政令），進一步加強其全球 ICT 供應鏈安全評估要求。2021 年，美國商務部發(fā)布《確保信息和通信技術及服務供應鏈安全》的最新規(guī)則生效，美國商務部明確提出就某些對美國關鍵基礎設施或數據及經濟造成不適當風險，或對美國國家或公民構成不可接受之風險的外國對手的信息通信技術和服務（ICTS）交易所進行識別、評估和風險消除程序，從而決定是否禁止交易。商業(yè)軟件開發(fā)在透明性、抵抗攻擊、惡意行為防御等方面存在明顯不足。2021 年 5 月 12 日，美國總統(tǒng)拜登發(fā)布關于增強國家網絡安全的 14028 號政令，明確要求聯(lián)邦政府采取行動，迅速提高軟件供應鏈的安全性和完整性，聯(lián)邦政府使用的軟件迫切需要實施更加嚴格的評估機制，通過試點計劃創(chuàng)建“能源之星”類型標簽等方式使政府和廣大工作可以快速確保產品是否安全。美國政府通過不斷深化軟件供應鏈安全要求，進一步完善了軟件供應鏈安全保障體系。

　　三、為應對復雜嚴峻的軟件供應鏈安全風險，我國逐步完善相關政策法規(guī)，從國家層面不斷加強軟件供應鏈安全保障工作

　　我國軟件供應鏈面臨復雜的國際環(huán)境，歐美等國以維護國家安全為由對我國軟件供應方進行打壓。隨著中華民族偉大復興進入不可逆轉的歷史進程，在信息技術領域，美國等國與我國競爭日益激烈，自 2019 年至今，美國陸續(xù)將近 200 家科技企業(yè)、研究機構列入實體名單；2021 年，美國政府發(fā)布《確保信息和通信技術及服務供應鏈安全》，將中國列在“外國對手”首位，強調對外國對手供應的軟件產品和服務進行安全識別、評估。例如，字節(jié)跳動公司在美國拓展抖音（TikTok）業(yè)務期間，美國以維護其網絡安全為由，將 TikTok 業(yè)務從算法、數據、功能架構等方面層層拆解，牢牢控制其供應鏈。因此，為了避免我國軟件提供商在國際貿易中的不平等待遇和保障國內軟件的安全需求，需要在軟件進出口方面做好供應鏈安全評估，為保障我國軟件的合法權益提供技術支撐。

　　國內軟件供應鏈發(fā)展迅速，開源貢獻度逐年增多，開源軟件使用不規(guī)范、軟件交付渠道不可控，軟件供應鏈安全風險叢生。根據 Github 數據統(tǒng)計，2020 年度 Github 活躍用戶中北美用戶占 34%，亞洲用戶占 30.7%，北美用戶減少了 2%，亞洲用戶增長1.1%。美國開源用戶貢獻度下降至 22.7%，中國上升至 9.76%，預計到 2025 年，這一比例將上升至美國 16.4%，中國 13.3%。同時，國內一部分企業(yè)、開發(fā)者認為“開源即免費”，而開源軟件協(xié)議 GPL 明確指出開源軟件是指行為自由，規(guī)定了開源程序的免費使用范圍和權力，而并非完全免費（When wespeak of free software， we are referring to freedom, not a price）。中國的商業(yè)使用者多忽視了這個協(xié)議，存在較大的知識產權法律風險和安全隱患。開源軟件為敏捷開發(fā)帶來極大便利，大量的代碼克隆大大提升軟件開發(fā)速度，但是開源項目引用過程中缺乏對漏洞、惡意代碼的檢測、修復。代碼復用產生的漏洞成為軟件供應鏈的重大安全威脅。在軟件交付方面，App 端各種應用市場存在捆綁下載的情形，PC端存在大量的綠色軟件、破解軟件等第三方下載站，存在惡意軟件、漏洞、后門等多種風險。軟件使用方面 , 企業(yè)更多關注功能、業(yè)務的完成情況，對漏洞、后門等安全防范意識較為薄弱，技術安全問題整改高度依賴國家強制要求。為了充分應對軟件供應鏈的安全威脅，提前發(fā)現(xiàn)安全隱患，從各個角度對軟件供應鏈進行安全評估，將成為軟件開發(fā)、交付和使用的重要工作內容。

　　國家層面高度重視軟件供應鏈安全問題，不斷建立健全法律法規(guī)、標準制度，專門針對軟件供應鏈安全評估的政策法規(guī)有待完善加強。為應對國內外軟件供應鏈安全威脅，近年來我國先后頒布的《中華人民共和國網絡安全法》《網絡安全審查辦法》《中華人民共和國國民經濟和社會發(fā)展第十四個五年規(guī)劃和 2035 年遠景目標綱要》《關鍵信息基礎設施安全保護條例》等政策法規(guī)強調加強軟件供應鏈的安全保障。2018 年，我國出臺了供應鏈安全管理國家標準《信息安全技術 ICT 供應鏈安全風險管理指南》（GB/T 36637-2018）。該標準采用風險評估的思路，從產品全生命周期的角度開展風險分析及管理，以實現(xiàn)供應鏈的完整性、保密性、可用性和可控性安全目標。2020 年，中國電子技術標準化研究院發(fā)布的國家標準《信息技術產品供應鏈安全要求》征求意見稿，規(guī)定了信息技術產品供應方和需求方應滿足的供應鏈基本安全要求；電信終端產業(yè)協(xié)會發(fā)布的《網絡產品供應鏈安全要求》行業(yè)標準對網絡產品在管理制度、組織機構和人員、信息系統(tǒng)等以及供應鏈環(huán)節(jié)提出了不同等級的安全要求。2021 年，我國率先開展針對軟件供應鏈安全的國家標準立項工作，擬通過研究制定《信息安全技術 軟件供應鏈安全要求》提升國內軟件供應鏈各個環(huán)節(jié)的規(guī)范性和安全保障能力。

　　國家出臺的一系列政策法規(guī)、標準制度是保障軟件供應鏈安全，維護網絡空間安全的堅實后盾，然而，如何評估和判斷軟件各環(huán)節(jié)中的實體、要素及行為是否達到相應安全要求目前尚未形成共識。當前，軟件產品和服務在電子政務、軍事裝備、航天航空等領域發(fā)揮了無可替代的作用，一旦發(fā)生安全事件危害嚴重。為了緩解軟件供應鏈攻擊給政治安全、軍事安全、網絡空間安全等帶來的諸多隱患和威脅，亟需構建軟件供應鏈安全評估機制，全面保障軟件產品和服務安全。

　　四、建立全流程軟件供應鏈安全評估機制，推動相關政策法規(guī)和標準制度的落地實施，進一步提升軟件供應鏈安全保障能力，維護網絡空間安全

　　全流程軟件供應鏈安全評估機制可從國家政策層面、管理措施層面和技術評估層面，明確對軟件供應鏈開發(fā)、交付和使用各環(huán)節(jié)涉及的實體、要素的約束要求，同時，評估各種實體、要素帶來的安全風險，并由權威機構對評估達標的軟件產品和服務發(fā)放電子簽名或證書，如圖所示。

　　圖 全流程軟件供應鏈安全評估機制

　　在國家政策層面，持續(xù)加強國家層面在軟件供應鏈安全方面的戰(zhàn)略引導作用，制定專門針對軟件供應鏈的法律法規(guī)，完善軟件供應鏈安全評估政策體系。軟件產品和服務作為 ICT 的重要組成部分已遍布我國社會的各個角落，與國民工作生活息息相關，現(xiàn)有政策法規(guī)尚未針對軟件供應鏈各個環(huán)節(jié)實體、行為、要素明確約束要求，應在現(xiàn)行法規(guī)制度基礎上，結合國內軟件供應鏈發(fā)展速度快、代碼復用率高、綠色軟件普遍等特點，構建符合中國特色的軟件供應鏈安全評估政策體系。

　　在管理措施層面，加強軟件供應鏈各個環(huán)節(jié)的管理安全評估，督促供應方、需求方加強組織管理，提升軟件開發(fā)、交付及使用的規(guī)范性和安全保障能力。保障軟件供應鏈安全需要開發(fā)環(huán)節(jié)、交付環(huán)節(jié)和使用環(huán)節(jié)的所有參與角色共同努力。供需雙方應積極貫徹落實相關政策法規(guī)，建立軟件供應鏈組織管理制度規(guī)范。評估機構作為第三方機構按照上位法律法規(guī)標準制度要求，對供需雙方的組織管理制度規(guī)范進行評估，確保其能約束參與人員、組織結構依照安全管理規(guī)定和要求完成軟件的開發(fā)、交付及使用。

　　在技術評估層面，增強軟件供應鏈技術安全評估工作，迅速識別軟件供應鏈各環(huán)節(jié)實體、要素的安全威脅，最大限度消除安全隱患，維護網絡空間安全。隨著相關國家標準的實行和立項，軟件供應鏈安全評估領域將進入快速發(fā)展階段。當前，評估機構的評估工作集中于代碼成分分析，通過分析項目源代碼中復用的開源項目，發(fā)現(xiàn)歷史漏洞、安全隱患、許可證沖突等安全問題，對于軟件供應鏈上游的開發(fā)工具安全、中游的交付渠道和交付范圍安全、下游的補丁和更新安全等缺乏評估手段和能力。軟件供應鏈安全關乎網絡空間安全、人民安全等重大國家安全事項，單一機構或團隊難以完成軟件供應鏈的全部安全事項評估。應依據上位政策法規(guī)，構建全流程軟件供應鏈安全評估機制，制定軟件供應鏈技術安全評估規(guī)章制度，打造能夠高標準完成軟件供應鏈安全評估的技術聯(lián)盟，研發(fā)開放性的軟件供應鏈安全評估技術平臺，快速識別并修復軟件供應鏈開發(fā)、交付和使用環(huán)節(jié)實體、要素存在的安全風險，對于評估達標的軟件產品及服務出具相應的電子簽名和證書，使供需雙方迅速確認軟件是否安全，同時，配合相關法律法規(guī)、標準、制度的落地實行，進而維護我國網絡空間安全。

　　五、總結與展望

　　軟件產品和服務已經滲透到當前社會的各個角落，與人們的工作生活密不可分，為防范安全事件發(fā)生，建立完善的安全評估機制，充分開展軟件供應鏈安全評估工作，勢在必行。構建全流程軟件供應鏈安全評估機制，打造能夠高標準完成軟件供應鏈安全評估的技術聯(lián)盟和開放性技術評估平臺，能為軟件開發(fā)、交付、使用等環(huán)節(jié)中供需雙方提供安全技術支撐；能夠緩解軟件供應鏈管理、技術層面存在的安全威脅和風險挑戰(zhàn)，最大程度避免軟件供應鏈領域出現(xiàn)網絡安全的“黑天鵝”“灰犀牛”事件；能夠推動相關政策法規(guī)和標準制度的落地，保障軟件供應鏈安全、維護網絡空間安全。