一、治理难点分析

风险来源的多样化：

从软件生命周期风险角度，设计、开发、测试、上线、变更、下线各个环节均有潜在的安全风险威胁；从软件供应链条角度，参差不齐的供应商水平、能力水平及安全意识各异的第三方人员，都存在风险引入的隐患。各类攻防演练的结果证明，软件供应链攻击已成为投入低、见效快、易突破的有效方式。

软件自身的复杂性与不可见性：

为了提高交付效率，降低开发成本，现有软件开发方式采用组装方式，包括应用层面的组件依赖，基础服务、基础设施维度的成熟组件与框架等。待交付、待上线的软件引用了哪些组件，以及组件的版本、漏洞、知识产权等各方面信息的掌控，均给治理工作带来较大压力。

来源：信息安全技术 软件供应链安全要求（征求意见稿）

企业内部阻力重重：

软件供应链覆盖业务、运维、网络、安全各部门，部门之间的角色分工无疑也形成了隐形壁垒，缺乏行之有效的协作机制，责任无法落实，业务与安全之间的距离导致无法形成对外部供应链管理和技术上的合力。

安全合规符合性任务重：

针对软件供应链安全合规，《网络安全法》《等级保护要求》《关基保护条例》《网络安全审查办法》等对供应商责任与义务、管理制度、软件风险控制等方面提出安全要求，其中，2022年发布的信息安全技术 软件供应链安全要求（征求意见稿）对安全管理要求、软件供应活动各环节提出了管理、技术侧的全面性要求。软件供应链安全合规如何满足、与现有安全合规体系如何对接融合都是较为棘手的问题。

二、安全治理思路探索

鉴于软件供应链面临的风险威胁特点与安全合规体系化的全面性要求，结合企业内部管理特点，软件供应链安全治理必须是管理与技术相结合的体系化设计，采用框架性、系统性思维结合实际场景进行治理方案的设计。

总体思路与原则：合规是底线，管理是准则，制度是要求，技术是支撑，服务是保障，流程是协作。

软件供应链安全治理框架体系

在落地实践角度，首先须进行安全管理体系的组建与完善，提供治理过程的顶层支持能力，同时为约束各部门行为、管控供应商提供指导依据。例如通过管理机构的设置与任命，将各部门纳入治理管理体系，打通组织间的隔阂，为后续的协作流程做铺垫。安全管理制度的建立，能够规范软件供应链涉及的内部、外部角色的行为，同时提供制度性保障。

其次，针对软件开发各阶段与存在的风险，引入对应的安全能力，提供技术支撑，确保安全质量。针对开发外包、商业软件采购场景，也须引入安全工具或服务，在交付、验收等重要环节建立安全“质量门禁”。

再其次，建立针对软件生命周期、风险威胁管理等方面的流程机制，与企业内部现有流程进行整合，在管理体系的支持与工具体系的支撑下，以软件供应链安全为核心，实现部门间安全责任的落实与风险规范化控制，确保安全与业务同步进行。

最后，软件供应链安全治理过程，也需要不同类型的安全服务的引入，确保治理过程效果可衡量、风险可控制、合规能评估、威胁可处置。

三、治理过程实践

软件供应链安全治理是较为复杂的系统性工程，须基于行业企业实际情况、结合合规与风险、设计落地步骤，以咨询的视角来看，应结合企业合规要求与软件供应链现状风险，进行充分的调研分析，从而进行合规性评估与风险收敛，设计治理体系框架，进一步细化落地实施步骤。

针对软件供应链安全监管侧治理工作，可以依据国家、行业各类安全合规性要求，针对本行业、区域制定顶层监管设计，建立标准要求，督促相关要求的执行实践，定期进行监督检查评价，也可组织针对软件供应链的实战攻防检验措施进行质量验证，促进企业安全问题风险整改，推进软件供应链安全治理水平的提升。

结语

软件供应链安全治理不能依靠单一手段去解决安全风险与合规问题，在当前复杂且旺盛的软件与服务需求的大背景下，确保软件供应链安全即是保障业务安全，需要企业基于自身的现状需求不断探索研究，多重手段措施的应用实践，才能持续推进软件供应链安全治理与管理能力。

原文来源：安恒信息