近年来，软件供应链攻击的发生频率呈明显增长趋势，攻击者利用软件供应链的复杂性和互联性，通过恶意软件植入、代码篡改、供应链流程破坏等方式，实现了对目标软件的深度渗透和控制。软件供应链的安全风险遍布软件整个生命周期，具体概括为以下：

软件供应链开发测试环节安全风险。开发环节因缺乏统一安全发布、未检测工具集、编程偏重易用性忽视安全性导致的安全问题。

软件供应链交付环节安全风险。交付环节主流渠道监管缺失、个人发布泛滥、软件易被篡改及捆绑安装等安全风险。

软件供应链终端应用环节安全风险。终端应用环节则受盗版软件泛滥、安装源及工具问题、未经认证升级包及混杂补丁包、应用卸载复杂残留及第三方卸载工具隐患等问题。

04软件供应链治理方向软件供应链治理的核心目标是确保软件从开发到部署的全生命周期内的安全性与可靠性，需加强软件供应链安全意识、深耕软件供应链安全管理、持续开展软件供应链安全治理工作，为信息系统安全提供有力保障。


核心目标

强化供应链安全认识。在应对软件供应链安全挑战时，首要任务是提升全员对供应链安全的认识，积极主动地识别潜在风险，从源头到终端，全面增强对供应链各环节安全性的重视程度。

深耕软件供应链安全管理。对信息系统软件进行软件供应链安全检测评估等方式强化软件供应链安全管理工作，通过代码审计、渗透测试、软件成分分析等方式方法多维度深入挖掘可能存在的安全隐患，通过全方面系统的检测，提高软件供应链的整体安全性与稳定性。

持续开展供应链安全治理。贴合实际持续完善软件供应链安全相关要求，依托第三方权威测评机构定期开展全方面、系统化的安全检测评估，及时有效识别安全风险、调整安全策略，确保软件供应链的安全稳定。

来源|公安部网安局