当前，企业在新业务拓展中高度依赖数字化软件，随着开源技术和云原生架构的兴起，软件供应链的结构日益复杂，这使得供应链的安全问题愈发显著。据国外知名安全厂商ReversingLabs发布的《软件供应链安全状况调查报告》显示，从2020年至2022年，针对软件供应链的攻击呈现出指数级增长的态势，其中“恶意篡改”、“后门植入”以及“供应链劫持”等攻击手段频繁出现，进一步加剧了软件供应链的安全风险。

随着科技的飞速发展，软件供应链安全已成为全球各国普遍关注的焦点。软件供应链的风险不仅关乎企业与个人的利益，更直接威胁到国家的安全稳定。然而，遗憾的是，很多人对软件供应链的了解并不全面，对其复杂性和潜在的安全威胁认识不足。

本期“宁点访谈”，深圳开源互联网安全技术有限公司副总经理菅志刚将深入浅出介绍软件供应链安全。

深圳开源互联网安全技术有限公司创立于2013年，是中国软件安全行业创领者、网络安全百强企业。旗下拥有2家国家高新技术企业、1家国家专精特新小巨人企业、1家深圳市专精特新企业。截至目前，公司已累计申请专利330余件，参编国家与行业标准30余项。

作为国家网安基地网络安全行业专家，菅志刚从事软件研发、网络安全系统集成、软件安全等相关工作20年，参编《信息安全技术政务网站系统安全指南》（GB/T 31506-2022）、《信息安全技术网络安全等级保护应用软件开发安全管理规范》（T/ISEAA 008-2024）、《软件供应链安全要求》（T/ISC 0044-2024）等多项软件安全相关标准，担任国家邮政局邮政业安全中心外聘专家、深圳市龙华区网络安全工程技术研究中心副主任等职务，目前主要负责公司软件供应链安全业务在数字城市的落地工作。

通常，我们提到供应链的时候，大多数都是针对一些实体产品而言，那么软件供应链，它跟传统的实体产品供应链有什么不同，如何理解软件供应链安全？
菅志刚：首先，我们来探讨一下传统的供应链，特别是以食品供应链为例，因为它与软件供应链在结构上有着相似之处。食品供应链包括种植、生产加工、物流运输，以及终端售卖和消费者使用等环节。这四个环节构成了一个完整的链条，食品供应链的安全就是消除这个链条中的每一个环节存在的安全风险。

然而，实践中我们发现，即使有了国家标准和检验检测手段，食品供应链相关的安全事件依然屡有发生。例如，近期某品牌产品在消费者送检后发现存在检出物与配料表不一致的情况。还有就是，“胖东来”超市对上架蔬菜采取了更为严格的食品安全检测措施。他们自建检测实验室，对某些食品如蒜苔进行了长达三年的检测，通不过检测就不上架，为顾客把好了食品安全关键的一道门。这些都反映了在供应链中，即使生产环节没有问题，运输和销售环节也可能出现不符合食用标准的食品安全隐患。

除了食品供应链，我们还可以看到像汽车这样的产业也面临着更为严峻的供应链安全风险，特别是智能网联汽车。国家今年新出台两个强制性的国家标准，对汽车整车的信息安全提出了全面的要求。然而，与传统的食品领域相比，软件领域的供应链安全相关标准仍然相对缺乏。

现在，我们再来看软件供应链。软件供应链具有更为复杂的网链结构，我们可以从内外两个层面来看：首先，站在软件产品内部，需要确保软件自身在全生命周期各个环节中的健康，也就是高质量和安全；其次，从外部，也就更高维度来看软件产品的全链条，需要确保整个链条的稳定，也就是可用性和韧性。

我们参与编写的《网络安全技术—软件供应链安全要求》（GB/T 43698-2024）这一国家标准正是站在外部角度，去审视整个软件链条中各个环节的风险，并提出应对策略。简单来说，软件供应链安全涉及到的角色有三个：供方、需方和第三方检测，涉及到的环节也是三个：开发、交付、使用。针对不同环节面临的安全风险，不同角色需要采取对应的手段和方法来应对。

软件供应链的安全风险主要会出现在哪些环节？有没有现实中比较典型的软件供应链安全威胁的案例？

菅志刚：从软件产品的角度来看，软件供应链的安全风险涉及多个环节。首先，我们来看生产环节，也就是软件开发环节。在这个环节中，一个典型的案例是2015年苹果公司的集成开发工具Xcode非官方版本被恶意代码污染事件。这个被注入病毒的Xcode版本被广泛应用，导致多款知名APP都被污染，影响了苹果商店中的大量应用。这个事件揭示了开发工具本身可能成为安全风险来源的问题。事实上，由于缺乏自主研发的软件开发工具，国内软件开发环境面临更大风险。

除了开发工具，软件生产还依赖于外部的生产资料，如开源软件。近年来，开源软件的风险逐渐暴露出来，成为软件供应链安全的一个焦点。例如，2021年知名的开源项目Apache Log4j2被曝存在严重安全漏洞，攻击者可以利用该漏洞远程执行任意代码，控制目标机器。这个漏洞影响了全球范围内的众多用户，包括多个大型商业应用。此外，开源软件的授权问题也是一个风险点，不同的开源软件有不同的授权方式，如果处理不当，可能面临商业风险或法律纠纷。

在软件开发过程中，人员的素质和技能也是影响软件质量的重要因素。如果开发人员能力不足或疏忽大意，可能会写出质量不高或有漏洞的软件。因此，软件供应链的安全还需要考虑人员的培训和管理。

接下来是传输环节。在这个环节中，软件从生产方传输到使用方，可能会经过多个节点，每个节点都可能存在安全风险。例如，著名的“太阳风”，即SolarWinds供应链攻击事件。黑客利用SolarWinds公司的网管软件漏洞，攻陷了多个美国联邦机构及财富500强企业，这是一起影响范围广、潜伏时间长、隐蔽性强、高度复杂的攻击。这个事件表明，在软件传输过程中，需要对软件进行严格的校验和检测，以确保其未被篡改或植入恶意代码。

最后是使用环节。即使软件在生产和传输过程中都是安全的，但在使用过程中仍然可能面临风险。比如：广西教育行业的网安专家给我讲过案例，在攻防演练时，攻击队会从github上获取系统源代码做代码审计识别安全漏洞，再对安全漏洞进行利用进行攻击。同时，开源组件可能会在使用过程中被曝出严重漏洞，这时就需要及时采取措施进行修复。因此，软件使用方需要建立有效的漏洞响应机制，确保在发现漏洞后能够迅速响应并修复。

从更大的层面来看，软件供应链的安全还涉及到国家安全和产业安全。如果软件供应链被外部势力控制或破坏，可能会导致整个产业链的中断或瘫痪。例如，在俄乌战争中，美国就限制了俄罗斯获取一些开源信息和开源软件的能力。此外，如果软件中存在恶意代码或后门，可能会对国家安全造成严重威胁。因此，加强软件供应链的安全防护和监管至关重要。

针对上述风险，我们可以采取一系列措施来加强软件供应链的安全。首先，需要建立有效的安全评估和检测体系，对软件进行全面的安全检测和评估。其次，需要加强人员培训和管理，提高开发人员的安全意识和技能水平。此外，还需要推动产教融合和校企合作，培养更多的软件安全专业人才。最后，需要加强国际合作和交流，共同应对软件供应链安全面临的挑战。

以开源网安公司为例，我们形成了自己的一套方法论和理论体系，并支撑了多个国内的软件安全相关的标准建设。我们已经参与发布了多项国家标准和地方标准，并正在推动产教融合和校企合作。此外，我们还研发了一系列平台工具来加强软件供应链的安全防护和检测能力。这些成果已经在多个城市和行业中得到了应用和推广。
最后我们聊一下关于这个行业的未来，软件供应链安全产业，尤其是中国的软件供应链安全产业将来会有一个什么样的发展？全自主化是必经的一条路吗？

菅志刚：确实如此，刚才我们提到的宏观层面，由于软件供应链存在问题，我们需要去解决这些问题。这些问题主要包括三个方面：第一个是自主性，也就是国产自主可控；第二个是软件产业链或产业的成熟度；第三个是安全开发能力。

从这三个层面来看：

首先，关于自主性，目前国内在CPU、操作系统、数据库等方面已经具备了自主可控的能力，基础软件国产化生态逐步形成。然而，在应用软件层面，尤其是常见的应用软件中，大量使用了开源软件，而这些开源软件中90%甚至95%以上都来自国外平台。此外，工业软件的自主程度更低。为了提升自主度，国家主要是工信部正在出台一系列引导政策，鼓励国内高校和企业联合研发工业软件，同时也鼓励国内开源产业的发展。

其次，关于成熟度，实事求是地说，软件工程的成熟度相较于建筑、食品甚至传统汽车制造等行业来说，是相对较低的。为了提升成熟度，我们需要制定更多的标准，不断将相关工作标准化。这不仅可以提升自主率，还可以提升软件产业链供应链的韧性。国家层面也在推动完善全方位的网络安全体系，这里就涵盖了前面提到的软件的供方、需方以及第三方检测机构。

最后，关于安全开发能力，这是数字化能力的一个支撑。现在，城市和地方城市、大型央企和国企集团包括上市公司都在提升自己的数字化能力。而软件供应链安全作为数字化能力的支撑，也逐步得到重视。这些机构或企业不仅需要具备传统网络安全能力，同时也需要具备软件供应链的建设和保障能力。传统的软件开发商会面临着越来越严格的软件安全质量要求，从而主动或被动提升自己的安全开发能力。上述领域都是我们开源网安能够提供服务的地方。

总的来说，从宏观到微观，我国软件供应链安全体系会逐步完善，这也将为我们软件产业的高质量发展奠定基础。