文/中国软件评测中心（工业与信息化部软件与集成电路促进中心） 万晨阳 袁薇

  当前，软件规模逐步扩大、软件结构愈发复杂且代码来源多样，针对软件供应链脆弱环节的攻击频发，可能会引起严重的安全事故。随着我们国家数字化转型工作的深入推进，软件供应链安全问题也受到企业和用户的关注，软件供应链面临的主要安全威胁包括以下几方面。

  1. 技术安全风险。开源软件已成为软件产业的创新源泉和“标准件库”，为软件供应链安全带来了新的挑战，面临的技术安全风险包括安全漏洞、软件后门和恶意代码攻击等。新思科技发布的《2024年开源安全和风险分析报告》显示，被评估的代码库中，84%包含漏洞，74%包含高风险漏洞。开源软件的快速传播及其组件间的复杂依赖关系，使得漏洞易于扩散。开源协作的开发模式增加了潜在威胁渗透点，攻击者可以在开发、分发、使用等环节中通过代码贡献或更新注入恶意代码。此外，软件供应链投毒事件频发，例如2024年3月被曝出的XZ-Utils供应链投毒事件，XZ-Utils是Linux操作系统中普遍的使用的工具，不仅用于文件压缩和解压，还作为许多Linux发行版的依赖库。攻击者潜伏两年，逐步获得了该项目的维护权限，并于2023年底修改了XZ-Utils的安全机制。2024年初，攻击者在XZ-Utils的代码中植入了恶意代码，进而影响多个Linux发行版，如Fedora、openSUSE、Debian等，后门代码主要是针对SSH认证，通过篡改sshd进程，攻击者能够绕过身份验证，获得远程系统的完全控制权。

  2. 供应关系风险。软件供应链面临的供应关系风险主要在于供给中断。国内主导的开源社区呈现出一定的依附性和自主性不足的特点，面临产业链断供风险。由国外主导的开源项目可能因政治原因或商业利益而中止供应。例如，Docker限制某些国家和实体的服务访问，且CentOS停服事件显示出商业调整的影响。此外，缺乏资金和维护也可能会引起项目无法持续发展，增加供应链中断风险。

  3. 知识产权风险。使用开源软件一定要遵循开源许可协议，否则会面临知识产权和合规风险。开源许可涉及版权、专利和商标等权利。全球开源许可协议种类非常之多，条款常有差异与冲突。未合理解读和遵守协议的使用者可能遇到法律纠纷，比如因许可协议冲突而导致的知识产权风险。据2024年新思科技数据统计，53%的被审代码库中存在许可协议冲突。此外，使用开源软件还需注意专利维权、商标侵权和出口管制的问题，进一步增加了法律和合规挑战。

  1. 我国软件供应链安全治理标准情况。我国在软件供应链安全方面的标准体系正在慢慢地完善。GB/T 36637-2018 《信息安全技术ICT 供应链安全风险管理指南》规定了信息通信技术（ICT）供应链的安全风险管理过程和控制措施，适用于ICT供方和需方、第三方测评机构等；GB/T 43698-2024《网络安全技术 软件供应链安全要求》已正式实施，该标准明确了软件供应链相关方应满足的安全要求，本文在第三章进行简要解读。

  2. 欧美积极出台软件供应链安全有关政策。2015年，美国针对软件供应链安全，制定了NIST SP 800-161《Supply Chain Risk Management-Practices for Federal Information Systems and Organizations》（联邦信息系统和组织的供应链风险管理实践），为软件供应链提供了风险管理框架，强调对供应链各环节做全面的风险评估与管理；2022年，美国白宫发布了题为《通过安全的软件开发实践增强软件供应链的安全性》的备忘录。该备忘录要求供应商产品需提供安全自我证明，软件研发人员必须提供以证明其符合安全软件开发框架的文档。

  2022年，欧盟发布了题为《网络弹性法案》（Cyber Resilience Act）的草案，旨在为联网设备制定通用网络安全标准。法案要求所有出口欧洲的数字化产品都必须要提供安全保障、软件物料清单SBOM、漏洞报告机制，以及提供安全补丁和更新。违反规定的公司将面临最高1500万欧元或全球营收2.5%的罚款。

  2024年4月25日，GB/T 43698-2024《网络安全技术 软件供应链安全要求》正式对外发布，该标准规定了软件供应链安全风险管理要求和供需双方的组织管理和供应活动管理安全要求，旨在建立软件供应链安全风险管理能力体系并持续改进，增强软件供应链安全风险管理、组织管理和供应活动管理能力，从软件供应链安全风险管理要求、需方安全要求、供方安全要求三个方面构建了软件供应链安全保护框架。其中，两个核心角色分别为软件供应链中的供方、需方，重点防范的三类风险包括供应关系安全风险、技术安全风险、知识产权安全风险。软件供应链安全风险管理要求包括基本流程、软件供应链安全图谱、软件供应链安全风险评估、软件供应链安全风险处置四个方面。

  对于标准中规定的软件供应链安全风险管理、组织管理和供应活动管理能力要求，我们可从宏观、中观、微观三个层次进行理解。

  宏观层面：组织需要以风险管理统筹供应链安全，确定一个基本的风险管理流程。应先确立软件供应链的安全管理目标和策略，识别企业软件资产（一般软件资产和关键软件资产），并构建软件供应链安全图谱，确保安全信息的采集和实时更新。在构建图谱时，要根据不同类别的业务场景（核心、重要、一般业务）确定软件供应链安全图谱的等级（基础级、通用级、增强级），并清晰准确地构建软件供应链安全图谱。此外，企业应定时进行安全检查和软件供应链风险评估，包括对外部供应商进行安全监督，以确保整个供应链的安全性。在进行风险评估时，要重点关注以下风险：发行版本或升级补丁停止交付或部署、供方提供的服务部分或完全中断、授权措施导致的功能降级或能力受限、供应活动引入的完整性、安全性、合规性等风险。

  中观层面：对公司来说，需要站在需方和供方两个角度，全面梳理软件供应活动的相关管理要求，主要聚焦机构、人员、制度和知识产权。首先，组织要明确软件供应链安全管理的责任机构，明确相关职能范围和建设要求，能够最终靠设立具体的职能部门来实现，也可以建立虚拟的跨部门治理小组。其次，制度的建设作为安全措施落地的依据必不可少，建设范围有人员制度、知识产权制度、供应商制度、风险管理制度等。之后要进一步细化人员职责、权限和能力等要求。作为需方，还要增加供应商的监督管理，包括供应商选择、准入控制、供应关系变化时的安全风险评估、持续供货能力、替代方案、防停服断供等。最后，组织要关注知识产权相关联的内容，包括开源许可协议、许可证、专利、著作权、商标等。

  微观层面：供应商活动管理是软件供应链安全的核心环节，包括开发环节、交付环节和使用环节，需要从供需两方视角理解有关要求。从需方视角看，需方在与供方建立关系时应通过合同明确安全要求，并在采购过程中邀请安全专家参与，制定相应的安全需求基线；需对软件进行完整性验证和安全检测，确保无已知漏洞，并需求进行定制软件的有关技术支持；运维方面需确保软件的持续稳定性和安全性，建立可追溯记录，并对运维工具进行风险评估；在软件废止时，需制定相应的处理规程，确保数据安全和系统完整性。从供方视角看，一是企业内部软件开发过程加强安全管控。比如，软件组件清单、开发工具使用、开发场地的安全管控等。二是供方需要配合甲方的安全要求，做好软件的部署实施、安全交付和上线后运行保障。

  该标准的正式实施，将促进软件供应链的安全治理水平的提升，促进供应商的合规性与透明度。此外，标准对企业识别和评估供应链中的安全风险的能力提出了新的要求，只有充分识别并评估软件供应链管理中的相关风险，才能针对性设立治理目标和路径，确保治理措施的有效性。

  随着软件供应链安全国家标准的正式实施，我国软件供应链安全治理水平必将迎来一次标准化、系统化的全新跨越。针对计划开展或已经开展软件供应链安全治理的金融业企业，我们有以下建议。

  一是强化软件供应链安全治理顶层设计。企业应以国标为基础，梳理国家法律和法规及行业要求，建立软件供应链安全治理组织机构，逐步完善相关安全规划和制度流程。同时，企业应建立相匹配的安全评估机制，通过自评或第三方评估的方式验证治理实施效果，共同促进治理的持续改进和优化。

  二是在软件供应链管理中做好“安全左移”。对于软件需方，无论是自主研发还是通过外部采购获得软件，应将软件供应链的安全需求，包括软件选型需求，SBOM生成等全面纳入安全需求分析、方案制定和评审等所有的环节，确保安全需求得到充分考虑。同时，对于软件供方，应将软件供应链安全的治理能力嵌入组件引入、代码合入、测试、CI/CD等研发流程，同时做好产品的软件供应链安全图谱管理工作，做到软件成分来源清晰、动态可追溯。

  三是善用工具实现自动化治理。随着现代软件开发中依赖的第三方组件和开源库数量激增，手动管理和监控每个组件的安全性已变得十分复杂。自动化工具能够实时追踪组件的安全状态、版本更新和漏洞修复，有效应对动态环境中的安全挑战。同时，自动化能够降低人为错误，提高响应速度，确保及时有效地发现并处理潜在风险。因此，建议依据自己需求引入适当的自动化工具，结合安全政策和标准，构建高效、精准的自动化治理体系，从而增强软件供应链的整体安全性和应对能力。

  驻报全媒体记者 王捷“尔康中医院全体医护人员，你们好！值此我满怀无限感激与喜悦之际，谨以此信向贵院，特别是曾悉心照料我家孩子的全体医护人员，表达最诚挚、最深切的谢意……”近日，一位患者家属代表全家向驻马店尔康中医院送来一封感谢信。

  随着夏季、暑期的到来，市民夜间出行、消费意愿持续走高。7月24日晚，为进一步保障辖区道路交互与通行环境安全、有序，阳信交警走进夜市摊点及周边商铺，向商贩、消费者发放交通安全宣传资料,护航“夜经济”,守好“烟火气”。

  近日，山东路桥完成公司自有的进口移动反击式破碎机全面维保工作，设备已恢复最佳运作时的状态，重新具备高效作业能力。

  7月25日，中国证监会就修订后的《上市公司治理准则》向社会公开征求意见。这是上市公司治理制度的又一次升级。本次修订完善了董事、高级管理人员监管制度，从任职、履职、离职等方面做全面规范，督促董事、高级管理人员忠实、勤勉地履行职责。

  我去花鸟市场，看到这样一株美丽动人的白掌。远看，微风吹过，像一位漂亮的小姑娘在风中翩翩起舞，好似一只美丽的蝴蝶；近看，它的根像小女孩的长头发，也像一根根面条，更像一段一段的折耳根；你细细地看，像奶奶的毛线团缠绕在一起，好似在说着什么悄悄话。

  博力威最新股价报27.18元，较前一交易日上涨0.24元。盘中最高触及27.30元，最低下探至26.66元，成交量为9301手，成交金额达0.25亿元。

  答记者问｜山东加快打造世界级海洋港口群，打通国内国际各5条海上运输通道

  今天下午，山东省人民政府新闻办公室将举行省政府政策例行吹风会，邀请山东省交通运输厅负责同志等解读《山东省港口与航道布局规划（2025—2035年）》（以下简称《布局规划》），并回答记者提问。

  但很多人都不知道，你每天触摸的手机壳，很有可能会要了你的命。在近期，央视新闻就报道了一则触目惊心的新闻，市场上常见的廉价手机壳，其中就含有非常多的有毒物质。