隨著數(shù)字化轉(zhuǎn)型的深入和軟件定義一切的興起，軟件供應(yīng)鏈已成為支撐現(xiàn)代企業(yè)運(yùn)營(yíng)的核心命脈。近年來(lái)頻發(fā)的軟件供應(yīng)鏈安全事件，如SolarWinds、Log4j等，為企業(yè)和社會(huì)敲響了警鐘。全球知名研究與咨詢機(jī)構(gòu)Gartner適時(shí)發(fā)布了一份關(guān)于降低企業(yè)軟件供應(yīng)鏈安全風(fēng)險(xiǎn)的綜合性指南，該指南不僅梳理了全球范圍內(nèi)日益收緊的相關(guān)法規(guī)，更為企業(yè)提供了清晰、可操作的行動(dòng)框架。

一、全球軟件供應(yīng)鏈安全法規(guī)與指南全景

全球監(jiān)管機(jī)構(gòu)正以前所未有的力度關(guān)注軟件供應(yīng)鏈安全，將其視為國(guó)家安全和數(shù)字經(jīng)濟(jì)韌性的關(guān)鍵環(huán)節(jié)。

1. 美國(guó): 拜登政府發(fā)布的《關(guān)于改善國(guó)家網(wǎng)絡(luò)安全的行政命令》是里程碑式的文件，其核心條款強(qiáng)制要求聯(lián)邦政府采購(gòu)的軟件需提供“軟件物料清單”（SBOM），并推動(dòng)安全軟件開發(fā)實(shí)踐。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）隨之發(fā)布了詳細(xì)的《安全軟件開發(fā)框架》（SSDF）和軟件供應(yīng)鏈安全指南。
2. 歐盟: 即將全面實(shí)施的《網(wǎng)絡(luò)與信息安全指令》（NIS2）將軟件供應(yīng)鏈安全責(zé)任擴(kuò)展到更廣泛的實(shí)體。《網(wǎng)絡(luò)彈性法案》（CRA）則專門針對(duì)具有數(shù)字元素的產(chǎn)品，確立了全生命周期的強(qiáng)制性網(wǎng)絡(luò)安全要求。
3. 中國(guó): 《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》及《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》共同構(gòu)成了基礎(chǔ)法律框架，明確要求運(yùn)營(yíng)者確保其供應(yīng)鏈安全。相關(guān)部門持續(xù)發(fā)布關(guān)于軟件供應(yīng)鏈安全的行業(yè)標(biāo)準(zhǔn)與技術(shù)要求，強(qiáng)調(diào)自主可控與安全審查。

這些法規(guī)的共同趨勢(shì)是：責(zé)任前移（從使用者擴(kuò)展至開發(fā)者、供應(yīng)商）、透明度要求（如SBOM）、全生命周期管理以及強(qiáng)制性合規(guī)。

二、Gartner指南：企業(yè)需聚焦的三大核心工作領(lǐng)域

Gartner的指南指出，企業(yè)不能僅依賴被動(dòng)防御，而應(yīng)構(gòu)建主動(dòng)、系統(tǒng)化的軟件供應(yīng)鏈安全治理體系，具體需從以下三個(gè)方面協(xié)同開展工作：

1. 強(qiáng)化治理與風(fēng)險(xiǎn)管理

這是構(gòu)建安全基石的頂層設(shè)計(jì)。企業(yè)應(yīng)：

• 明確責(zé)任歸屬: 建立跨部門（安全、開發(fā)、采購(gòu)、法務(wù)）的聯(lián)合治理團(tuán)隊(duì)，明確軟件供應(yīng)鏈安全的所有者與職責(zé)。
• 實(shí)施供應(yīng)商風(fēng)險(xiǎn)管理: 對(duì)軟件供應(yīng)商、開源社區(qū)、第三方庫(kù)建立嚴(yán)格的準(zhǔn)入、持續(xù)監(jiān)控和退出機(jī)制。將安全要求納入采購(gòu)合同與服務(wù)水平協(xié)議（SLA）。
• 維護(hù)完整的資產(chǎn)清單: 不僅僅記錄應(yīng)用本身，更要深入追蹤其所有組件（包括直接和間接依賴的開源及商業(yè)庫(kù)），SBOM是實(shí)現(xiàn)這一目標(biāo)的關(guān)鍵工具。

2. 確保安全的軟件開發(fā)與交付

這是從源頭控制風(fēng)險(xiǎn)的核心環(huán)節(jié)。企業(yè)需將安全無(wú)縫集成到整個(gè)DevSecOps流程中：

• 采用安全開發(fā)框架: 遵循NIST SSDF或類似框架，將安全活動(dòng)（如威脅建模、安全編碼、代碼審查）嵌入開發(fā)初期。
• 實(shí)施自動(dòng)化安全測(cè)試: 在CI/CD管道中集成靜態(tài)應(yīng)用程序安全測(cè)試（SAST）、動(dòng)態(tài)應(yīng)用程序安全測(cè)試（DAST）、軟件成分分析（SCA）等工具，對(duì)代碼和第三方依賴進(jìn)行持續(xù)掃描。
• 保障構(gòu)建環(huán)境與交付管道的完整性: 對(duì)構(gòu)建服務(wù)器、代碼倉(cāng)庫(kù)、包管理器實(shí)施嚴(yán)格的安全加固與訪問(wèn)控制，防止篡改。對(duì)交付物進(jìn)行簽名和驗(yàn)證。

3. 構(gòu)建網(wǎng)絡(luò)與信息安全運(yùn)維韌性

這是應(yīng)對(duì)潛在漏洞和攻擊的最后防線。關(guān)鍵在于提升可見性與響應(yīng)能力：

• 持續(xù)監(jiān)控與漏洞管理: 利用SCA工具持續(xù)監(jiān)控SBOM中所有組件的漏洞情報(bào)，建立基于風(fēng)險(xiǎn)的優(yōu)先級(jí)修復(fù)流程。對(duì)運(yùn)行時(shí)環(huán)境進(jìn)行異常行為監(jiān)測(cè)。
• 制定并演練應(yīng)急響應(yīng)計(jì)劃: 專門制定針對(duì)軟件供應(yīng)鏈安全事件的應(yīng)急預(yù)案，明確在發(fā)現(xiàn)上游組件存在高危漏洞或遭遇投毒攻擊時(shí)的隔離、修復(fù)、升級(jí)和溝通流程。
• 提升全員安全意識(shí): 對(duì)開發(fā)、運(yùn)維及采購(gòu)人員進(jìn)行針對(duì)軟件供應(yīng)鏈風(fēng)險(xiǎn)的專項(xiàng)培訓(xùn)，使其了解常見攻擊模式（如依賴混淆、命名搶注）和最佳實(shí)踐。

###

軟件供應(yīng)鏈安全不再是一個(gè)可選項(xiàng)，而是企業(yè)在數(shù)字時(shí)代生存與發(fā)展的必備能力。Gartner的指南與全球法規(guī)的演進(jìn)方向高度一致，共同為企業(yè)指明了路徑：即通過(guò)系統(tǒng)化的治理、源頭化的安全開發(fā)、以及常態(tài)化的運(yùn)維韌性建設(shè)，構(gòu)建一個(gè)透明、可信、可追溯的軟件供應(yīng)鏈體系。企業(yè)應(yīng)盡快評(píng)估自身現(xiàn)狀，將這三方面工作納入整體網(wǎng)絡(luò)安全戰(zhàn)略，方能有效抵御日益復(fù)雜精密的供應(yīng)鏈攻擊，護(hù)航業(yè)務(wù)行穩(wěn)致遠(yuǎn)。