2022年伊始，数世咨询举办以“软件供应链安全的时与势”为主题的访谈活动，由数世咨询创始人李少鹏主持，邀请贝壳安全研发负责人李文鹏、北京邮电大学副教授张文博、默安科技副总裁沈锡镛三位行业大咖做客网安小酒馆，从产业、企业、学术的不同维度，共同探讨软件供应链安全建设的新思路，为业界呈现了一场开年网安盛宴。

　　随着全球软件供应链安全事件频发，软件供应链安全逐渐成为业界关注焦点，也成为影响国家重要信息系统安全与关键信息基础设施安全的重要因素，以及网络安全保障体系和能力建设的重要环节。嘉宾们围绕软件供应链安全发展的主要驱动力、关基行业中的实施现状和落地难点、产学研成果转化、软件供应链安全的重要性等话题展开激烈讨论。

1. 软件供应链安全发展的主要驱动力是什么？

　　北京邮电大学张文博：从宏观角度来看，随着数字经济不断发展、人们日常生活离不开各类软件和APP、个人隐私保护等需求推动着软件供应链安全的发展。客户需求是软件供应链安全发展的根源，即使需要满足法律法规与相关行业规范，规范诞生的源头仍然是需求。

　　默安科技沈锡镛：从SolarWinds供应链攻击事件可以看出，针对软件供应链的高级攻击愈演愈烈，安全事件是驱动这个细分领域发展的重要因素；其次，从合规的角度来说，由于软件供应链安全的行业属性过强，制定通用标准难度较大，软件供应链安全的发展仍然以自发需求为主。

　　贝壳安全李文鹏：软件供应链安全多为自身安全需求驱动，在物联网、云计算等技术发展过程中不可避免地出现大量财产、个人隐私、商业秘密泄露等问题。同时软件供应链条越长越复杂，安全问题越突出。

2. 关键信息基础设施等行业在软件供应链安全方面的现状如何？面临哪些问题？

　　贝壳安全李文鹏：从企业角度来说，主要面临两大痛点。第一，随着软件工业化和软件规模的不断发展，安全风险和软件膨胀成正比，如何有序管理复杂的软件供应链成为企业关心的话题。企业内部有多少应用、基础设施、关键组件不得而知。软件资产与供应链的梳理难度大是主要痛点之一。第二，从技术角度来看，市场上不缺软件供应链安全治理工具，但各个用户都有自己的软件管理流程、CI/CD流程，如何将工具与用户现有流程有机融合，实现效能最大化，是目前面临的重要挑战。

　　默安科技沈锡镛：之前接触的关键信息基础设施行业用户，如证券、互联网、电力等，都提到了与贝壳同样的共性问题。此外，组织内部的部门割裂也是比较严重的问题。在研发侧加强对软件供应链安全的重视程度十分重要。无论采用哪种开发模式，都应制定安全开发机制，加入第三方组件等供应链资产的梳理，或将安全融入需求分析阶段（例如有些架构漏洞无法修复，则用高可用架构替换）。总结来说，三个观点：软件供应链“底账”摸不清楚，后患无穷；应提高研发部门对安全的重视程度；软件供应链最先落地的可能不是互联网行业，而是数据密度大、供应链非常长的工业企业等。

　　数世咨询李少鹏：关键信息基础设施行业软件供应链中的组件可能应用并不广泛，但安全事件带来的负面影响不可小觑。在当前“离散制造”的大环境下，软件供应链安全的重要性会越来越突出。

　　北京邮电大学张文博：关键信息基础设施行业还面临非常严峻的合规性问题。互联网出现的初始目的是为防止“核打击”，即使在受到攻击的情况下也需要保证政府机构正常运作。因此互联网的根源实际是关键基础设施。随着互联网的发展，相关法律规范也不断完善。例如中央网络安全和信息化委员会于2021年12月印发的《“十四五”国家信息化规划》，就从政策角度指出安全与发展双轮驱动的要求。

3. 软件供应链安全治理的落地会遇到哪些问题？

　　贝壳安全李文鹏：有些单位会严格管控所有供应链和第三方组件引入流程，但这类纯管理方式导致研发效率低，同时审核人与实际业务形态脱离，实际安全管控效果不够理想。目前常见的做法是注重安全事件的缓解，容忍某些单点突破，但需通过纵深防御机制，防止攻击链和影响范围的不断扩大，避免全面失守。但目前软件供应链安全治理落地仍然存在很大的提升空间，可能需要学术界和厂商侧共研一些解决方案。

　　默安科技沈锡镛：这个问题的本质可以理解为安全左移到什么程度。比如在架构评审即融入安全非常重要，安全与研发部门深入合作、共同面对和解决问题。安全左移是安全与研发的责任共担，而非将安全责任转移到研发部门。因此开发安全体系的一大特点应该是“陪伴式交付”，并且安全交付没有终点，而是一个不断改进和迭代的过程。

　　北京邮电大学张文博：术业有专攻——安全和开发很多时候处于“两个次元”，工作思路差异较大，双方沟通一定存在摩擦，因此共同完成安全开发工作就必须做到“宽容”。

4. 高校在软件供应链安全方面的研究成果如何转化为解决问题的产品与能力？

　　北京邮电大学张文博：产学研转化不止在软件供应链安全领域，在很多其它科技领域都存在。主要原因：国内愿意在研发投入大量成本的企业比较有限；学术研究和企业的目标侧重点存在差异，企业更注重经济效益，很多时候是短期的回报，而从学术层面来说，能够快速产生经济价值的研究并不一定存在很高的学术创新价值。实际解决只能逐步开展，当前最实际的做法是与企业展开人才培养合作，共同为社会输送更多高精尖人才。

　　贝壳安全李文鹏：当前的产学研转化问题可能与国家目前的发展阶段有关，但这个问题已经引起极大的重视，从社会意识上来说已是很大的进步。

5. 安全体系建设过程中，软件供应链安全应当扮演怎样的角色？

　　贝壳安全李文鹏：随着软件规模的增长，软件供应链安全重要性日益突出，目前应该处于一个转型的连接点，但很难定义为一个具体的角色，它是软件设计、需求评审、研发、上线全流程中必不可少的环节，需要安全与业务共同合作。其中也包括SDL，贯穿软件开发和运营全生命周期。从宏观角度来说，软件供应链安全建设需要软件工程学整个领域的转型和突破。

　　北京邮电大学张文博：软件供应链至少包括开发、发布、使用等阶段，涵盖整个商业活动，其中的安全不可忽略；应分阶段地落实，同时也需要统一管理。

　　默安科技沈锡镛：软件供应链安全实际在整个安全体系建设中扮演融合的角色，例如完整的安全开发体系就是软件供应链安全的基底，包括全流程的设计安全、编码阶段的安全、测试阶段的安全等等。

总结

　　从本次活动的讨论内容可以看出，软件供应链安全离不开SDL安全开发生命周期的全流程建设。默安科技是国内开发安全和DevSecOps领域的先行者，在软件供应链安全领域有着丰厚经验和技术积累，此次与数世咨询合作，邀请用户、厂商、院校专家“把酒话网安”， 通过访谈的形式讨论当下最热门安全话题之一——软件供应链安全，希望能给网安从业企业、关基行业单位带来一些开展软件供应链安全治理工作的思路和建议。未来，默安科技将继续为众多合作伙伴输出有价值的内容，提供更安全有效的产品、方案与服务。

参考阅读
谈话实录：网安三人行——威胁检测与响应（TDR）