軟件產(chǎn)品和服務(wù)關(guān)系生產(chǎn)、生活的各個(gè)方面，軟件供應(yīng)鏈安全直接影響社會(huì)的穩(wěn)定運(yùn)行。美國(guó)智庫(kù)大西洋理事會(huì)梳理的關(guān)于近 10 年發(fā)生的 115 起軟件供應(yīng)鏈安全事件的報(bào)告顯示，開(kāi)發(fā)工具污染、依賴(lài)混淆、升級(jí)劫持等軟件供應(yīng)鏈攻擊對(duì)國(guó)家安全造成巨大威脅。由于缺乏標(biāo)準(zhǔn)化軟件供應(yīng)鏈安全評(píng)估辦法和安全意識(shí)，供需雙方難以提前發(fā)現(xiàn)并消除潛在安全風(fēng)險(xiǎn)。因此，構(gòu)建集管理和技術(shù)為一體、從開(kāi)發(fā)環(huán)節(jié)到使用環(huán)節(jié)的全流程軟件供應(yīng)鏈安全評(píng)估機(jī)制，提前發(fā)現(xiàn)軟件供應(yīng)鏈安全風(fēng)險(xiǎn)，預(yù)防軟件供應(yīng)鏈攻擊，將成為推動(dòng)形成系統(tǒng)化、標(biāo)準(zhǔn)化軟件供應(yīng)鏈安全解決方案的必然趨勢(shì)，也將成為保障網(wǎng)絡(luò)空間安全和維護(hù)國(guó)家安全的重要手段。

　　一、軟件供應(yīng)鏈各環(huán)節(jié)安全風(fēng)險(xiǎn)眾多，缺乏安全評(píng)估，危害嚴(yán)重，影響范圍廣

　　軟件供應(yīng)鏈可以劃分為開(kāi)發(fā)、交付和使用三個(gè)技術(shù)環(huán)節(jié)，每個(gè)環(huán)節(jié)均存在安全隱患，然而，安全評(píng)估工作較少，導(dǎo)致安全事件時(shí)有發(fā)生。

　　在使用環(huán)節(jié)，由于用戶(hù)未對(duì)升級(jí)程序、組件、代碼等進(jìn)行嚴(yán)格檢查，導(dǎo)致攻擊者在更新升級(jí)或者打補(bǔ)丁過(guò)程中植入惡意代碼控制用戶(hù)系統(tǒng)。例如，2020 年 12 月，美國(guó)“太陽(yáng)風(fēng)”公司（SolarWinds）的 Orion 軟件更新服務(wù)器上存在一個(gè)被感染的更新程序，導(dǎo)致美國(guó)多家企業(yè)及政府單位網(wǎng)絡(luò)受到感染。火眼公司（FireEye）將該后門(mén)命名為“日爆”（Sunburst）。根據(jù)《紐約時(shí)報(bào)》報(bào)道，美國(guó)財(cái)政部系統(tǒng)等約 18000 家美國(guó)關(guān)鍵基礎(chǔ)設(shè)施、聯(lián)邦機(jī)構(gòu)和企業(yè)受到影響，部分受影響設(shè)備可由攻擊者完全操控。

　　在交付環(huán)節(jié)，軟件提供方通過(guò)網(wǎng)站平臺(tái)下載、鏡像安裝、固定銷(xiāo)售網(wǎng)點(diǎn)購(gòu)買(mǎi)等方式完成軟件交付，由于交付渠道、交付環(huán)境等方面缺乏安全分析評(píng)估，為攻擊者利用捆綁軟件、下載劫持、依賴(lài)混淆等方法實(shí)施攻擊提供了可乘之機(jī)。例如，2017 年 8 月，安全研究人員發(fā)現(xiàn)知名電信設(shè)備制造商 Iris 生產(chǎn)的調(diào)制解調(diào)器存在五個(gè)安全漏洞，其中三個(gè)硬編碼后門(mén)賬號(hào)漏洞。由于未及時(shí)開(kāi)展漏洞挖掘和修復(fù)工作，直接導(dǎo)致攻擊者利用三個(gè)后門(mén)賬號(hào)控制設(shè)備，獲取root 權(quán)限，安裝新固件乃至架設(shè)僵尸網(wǎng)絡(luò)。

　　開(kāi)發(fā)環(huán)節(jié)處于供應(yīng)鏈上游，具有開(kāi)發(fā)工具安全評(píng)估難度大、開(kāi)源代碼復(fù)用率高、軟件開(kāi)發(fā)碎片化顯著等特點(diǎn)。攻擊者通過(guò)污染開(kāi)發(fā)工具、復(fù)用開(kāi)源代碼等方式控制上游軟件供應(yīng)鏈，借助軟件開(kāi)發(fā)碎片化顯著等特點(diǎn)促使污染代碼快速傳播影響中下游用戶(hù)，例如 2015 年 9 月爆發(fā)的蘋(píng)果開(kāi)發(fā)工具XcodeGhost 事件。Xcode 是一款蘋(píng)果的開(kāi)發(fā)工具，攻擊者利用當(dāng)時(shí)通過(guò)官方渠道獲取 Xcode 官方版本困難的情況 , 在非官方渠道發(fā)布的 Xcode 注入病毒，導(dǎo)致 2500 多款使用該開(kāi)發(fā)工具開(kāi)發(fā)的蘋(píng)果 App 被植入惡意代碼，受影響的蘋(píng)果 iOS 用戶(hù)達(dá) 1.28 億。

　　軟件供應(yīng)鏈攻擊雖然不直接攻擊用戶(hù)，但是能夠通過(guò)破壞上游供應(yīng)鏈對(duì)下游用戶(hù)形成“隔山打?！笔焦?，且危害巨大。目前，開(kāi)發(fā)者對(duì)開(kāi)發(fā)工具依賴(lài)度高，對(duì)安全風(fēng)險(xiǎn)防范主要依賴(lài)官方補(bǔ)??；國(guó)內(nèi)用戶(hù)使用破解軟件、綠色軟件現(xiàn)象較為普遍，而對(duì)其中漏洞、惡意代碼等安全威脅鮮有評(píng)估，產(chǎn)生的安全風(fēng)險(xiǎn)不言而喻。因此，在軟件供應(yīng)鏈各個(gè)環(huán)節(jié)開(kāi)展安全評(píng)估，盡早發(fā)現(xiàn)其中的安全問(wèn)題并采取有效的修復(fù)措施，才能最大限度避免安全事件的發(fā)生。

　　二、美國(guó)在軟件供應(yīng)鏈安全領(lǐng)域的法律法規(guī)、標(biāo)準(zhǔn)制度建設(shè)等方面起步較早，較為完善，對(duì)我國(guó)具有較好的借鑒意義

　　美國(guó)政府率先將供應(yīng)鏈安全上升至國(guó)家戰(zhàn)略。早在 2008 年就開(kāi)始制定相關(guān)政策法規(guī)，《國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃（CNCI）》要求在產(chǎn)品、系統(tǒng)和服務(wù)的整個(gè)生命周期內(nèi)綜合應(yīng)對(duì)國(guó)內(nèi)和全球供應(yīng)鏈風(fēng)險(xiǎn)；2009 年發(fā)布的《網(wǎng)絡(luò)空間安全評(píng)估報(bào)告》，將信息通信技術(shù)（以下簡(jiǎn)稱(chēng)“ICT”）供應(yīng)鏈安全納入國(guó)家安全范疇。至此，美國(guó)率先完成了 ICT 供應(yīng)鏈安全的框架結(jié)構(gòu)設(shè)計(jì)，明確了其在國(guó)家安全中的重要地位。

　　美國(guó)多個(gè)國(guó)家組織機(jī)構(gòu)自上而下貫徹落實(shí)《國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃（CNCI）》，逐步形成較為完善的軟件供應(yīng)鏈安全管理及風(fēng)險(xiǎn)評(píng)估體系。2012 年，美國(guó)發(fā)布首個(gè)國(guó)家層級(jí)戰(zhàn)略報(bào)告《全球供應(yīng)鏈安全國(guó)家戰(zhàn)略》，提出安全和高效兩大目標(biāo)。2013 年至2019 年，基于上述戰(zhàn)略，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院、國(guó)土安全部、國(guó)家網(wǎng)絡(luò)安全促進(jìn)委員會(huì)等機(jī)構(gòu)先后發(fā)布《聯(lián)邦信息系統(tǒng)與機(jī)構(gòu)供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐》《加強(qiáng)國(guó)家網(wǎng)絡(luò)安全——促進(jìn)數(shù)字經(jīng)濟(jì)的安全與發(fā)展》《供應(yīng)鏈風(fēng)險(xiǎn)管理計(jì)劃》《聯(lián)邦信息技術(shù)供應(yīng)鏈風(fēng)險(xiǎn)管理改進(jìn)法案》，充分評(píng)估軟件供應(yīng)鏈開(kāi)發(fā)、交付和使用三個(gè)環(huán)節(jié)的安全風(fēng)險(xiǎn)，并提供評(píng)估機(jī)制，形成了較為完善 ICT 供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估體系。

　　美國(guó)政府對(duì)其軟件供應(yīng)鏈涉及外國(guó)對(duì)手的部分和聯(lián)邦政府使用的軟件和服務(wù)空前重視，要求迅速實(shí)施更加嚴(yán)格的評(píng)估機(jī)制，進(jìn)一步完善安全評(píng)估體系。2019 年，特朗普政府發(fā)布《確保信息和通信技術(shù)及服務(wù)供應(yīng)鏈安全》行政令（13873 號(hào)政令），進(jìn)一步加強(qiáng)其全球 ICT 供應(yīng)鏈安全評(píng)估要求。2021 年，美國(guó)商務(wù)部發(fā)布《確保信息和通信技術(shù)及服務(wù)供應(yīng)鏈安全》的最新規(guī)則生效，美國(guó)商務(wù)部明確提出就某些對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施或數(shù)據(jù)及經(jīng)濟(jì)造成不適當(dāng)風(fēng)險(xiǎn)，或?qū)γ绹?guó)國(guó)家或公民構(gòu)成不可接受之風(fēng)險(xiǎn)的外國(guó)對(duì)手的信息通信技術(shù)和服務(wù)（ICTS）交易所進(jìn)行識(shí)別、評(píng)估和風(fēng)險(xiǎn)消除程序，從而決定是否禁止交易。商業(yè)軟件開(kāi)發(fā)在透明性、抵抗攻擊、惡意行為防御等方面存在明顯不足。2021 年 5 月 12 日，美國(guó)總統(tǒng)拜登發(fā)布關(guān)于增強(qiáng)國(guó)家網(wǎng)絡(luò)安全的 14028 號(hào)政令，明確要求聯(lián)邦政府采取行動(dòng)，迅速提高軟件供應(yīng)鏈的安全性和完整性，聯(lián)邦政府使用的軟件迫切需要實(shí)施更加嚴(yán)格的評(píng)估機(jī)制，通過(guò)試點(diǎn)計(jì)劃創(chuàng)建“能源之星”類(lèi)型標(biāo)簽等方式使政府和廣大工作可以快速確保產(chǎn)品是否安全。美國(guó)政府通過(guò)不斷深化軟件供應(yīng)鏈安全要求，進(jìn)一步完善了軟件供應(yīng)鏈安全保障體系。

　　三、為應(yīng)對(duì)復(fù)雜嚴(yán)峻的軟件供應(yīng)鏈安全風(fēng)險(xiǎn)，我國(guó)逐步完善相關(guān)政策法規(guī)，從國(guó)家層面不斷加強(qiáng)軟件供應(yīng)鏈安全保障工作

　　我國(guó)軟件供應(yīng)鏈面臨復(fù)雜的國(guó)際環(huán)境，歐美等國(guó)以維護(hù)國(guó)家安全為由對(duì)我國(guó)軟件供應(yīng)方進(jìn)行打壓。隨著中華民族偉大復(fù)興進(jìn)入不可逆轉(zhuǎn)的歷史進(jìn)程，在信息技術(shù)領(lǐng)域，美國(guó)等國(guó)與我國(guó)競(jìng)爭(zhēng)日益激烈，自 2019 年至今，美國(guó)陸續(xù)將近 200 家科技企業(yè)、研究機(jī)構(gòu)列入實(shí)體名單；2021 年，美國(guó)政府發(fā)布《確保信息和通信技術(shù)及服務(wù)供應(yīng)鏈安全》，將中國(guó)列在“外國(guó)對(duì)手”首位，強(qiáng)調(diào)對(duì)外國(guó)對(duì)手供應(yīng)的軟件產(chǎn)品和服務(wù)進(jìn)行安全識(shí)別、評(píng)估。例如，字節(jié)跳動(dòng)公司在美國(guó)拓展抖音（TikTok）業(yè)務(wù)期間，美國(guó)以維護(hù)其網(wǎng)絡(luò)安全為由，將 TikTok 業(yè)務(wù)從算法、數(shù)據(jù)、功能架構(gòu)等方面層層拆解，牢牢控制其供應(yīng)鏈。因此，為了避免我國(guó)軟件提供商在國(guó)際貿(mào)易中的不平等待遇和保障國(guó)內(nèi)軟件的安全需求，需要在軟件進(jìn)出口方面做好供應(yīng)鏈安全評(píng)估，為保障我國(guó)軟件的合法權(quán)益提供技術(shù)支撐。

　　國(guó)內(nèi)軟件供應(yīng)鏈發(fā)展迅速，開(kāi)源貢獻(xiàn)度逐年增多，開(kāi)源軟件使用不規(guī)范、軟件交付渠道不可控，軟件供應(yīng)鏈安全風(fēng)險(xiǎn)叢生。根據(jù) Github 數(shù)據(jù)統(tǒng)計(jì)，2020 年度 Github 活躍用戶(hù)中北美用戶(hù)占 34%，亞洲用戶(hù)占 30.7%，北美用戶(hù)減少了 2%，亞洲用戶(hù)增長(zhǎng)1.1%。美國(guó)開(kāi)源用戶(hù)貢獻(xiàn)度下降至 22.7%，中國(guó)上升至 9.76%，預(yù)計(jì)到 2025 年，這一比例將上升至美國(guó) 16.4%，中國(guó) 13.3%。同時(shí)，國(guó)內(nèi)一部分企業(yè)、開(kāi)發(fā)者認(rèn)為“開(kāi)源即免費(fèi)”，而開(kāi)源軟件協(xié)議 GPL 明確指出開(kāi)源軟件是指行為自由，規(guī)定了開(kāi)源程序的免費(fèi)使用范圍和權(quán)力，而并非完全免費(fèi)（When wespeak of free software， we are referring to freedom, not a price）。中國(guó)的商業(yè)使用者多忽視了這個(gè)協(xié)議，存在較大的知識(shí)產(chǎn)權(quán)法律風(fēng)險(xiǎn)和安全隱患。開(kāi)源軟件為敏捷開(kāi)發(fā)帶來(lái)極大便利，大量的代碼克隆大大提升軟件開(kāi)發(fā)速度，但是開(kāi)源項(xiàng)目引用過(guò)程中缺乏對(duì)漏洞、惡意代碼的檢測(cè)、修復(fù)。代碼復(fù)用產(chǎn)生的漏洞成為軟件供應(yīng)鏈的重大安全威脅。在軟件交付方面，App 端各種應(yīng)用市場(chǎng)存在捆綁下載的情形，PC端存在大量的綠色軟件、破解軟件等第三方下載站，存在惡意軟件、漏洞、后門(mén)等多種風(fēng)險(xiǎn)。軟件使用方面 , 企業(yè)更多關(guān)注功能、業(yè)務(wù)的完成情況，對(duì)漏洞、后門(mén)等安全防范意識(shí)較為薄弱，技術(shù)安全問(wèn)題整改高度依賴(lài)國(guó)家強(qiáng)制要求。為了充分應(yīng)對(duì)軟件供應(yīng)鏈的安全威脅，提前發(fā)現(xiàn)安全隱患，從各個(gè)角度對(duì)軟件供應(yīng)鏈進(jìn)行安全評(píng)估，將成為軟件開(kāi)發(fā)、交付和使用的重要工作內(nèi)容。

　　國(guó)家層面高度重視軟件供應(yīng)鏈安全問(wèn)題，不斷建立健全法律法規(guī)、標(biāo)準(zhǔn)制度，專(zhuān)門(mén)針對(duì)軟件供應(yīng)鏈安全評(píng)估的政策法規(guī)有待完善加強(qiáng)。為應(yīng)對(duì)國(guó)內(nèi)外軟件供應(yīng)鏈安全威脅，近年來(lái)我國(guó)先后頒布的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全審查辦法》《中華人民共和國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和 2035 年遠(yuǎn)景目標(biāo)綱要》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等政策法規(guī)強(qiáng)調(diào)加強(qiáng)軟件供應(yīng)鏈的安全保障。2018 年，我國(guó)出臺(tái)了供應(yīng)鏈安全管理國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) ICT 供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》（GB/T 36637-2018）。該標(biāo)準(zhǔn)采用風(fēng)險(xiǎn)評(píng)估的思路，從產(chǎn)品全生命周期的角度開(kāi)展風(fēng)險(xiǎn)分析及管理，以實(shí)現(xiàn)供應(yīng)鏈的完整性、保密性、可用性和可控性安全目標(biāo)。2020 年，中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院發(fā)布的國(guó)家標(biāo)準(zhǔn)《信息技術(shù)產(chǎn)品供應(yīng)鏈安全要求》征求意見(jiàn)稿，規(guī)定了信息技術(shù)產(chǎn)品供應(yīng)方和需求方應(yīng)滿(mǎn)足的供應(yīng)鏈基本安全要求；電信終端產(chǎn)業(yè)協(xié)會(huì)發(fā)布的《網(wǎng)絡(luò)產(chǎn)品供應(yīng)鏈安全要求》行業(yè)標(biāo)準(zhǔn)對(duì)網(wǎng)絡(luò)產(chǎn)品在管理制度、組織機(jī)構(gòu)和人員、信息系統(tǒng)等以及供應(yīng)鏈環(huán)節(jié)提出了不同等級(jí)的安全要求。2021 年，我國(guó)率先開(kāi)展針對(duì)軟件供應(yīng)鏈安全的國(guó)家標(biāo)準(zhǔn)立項(xiàng)工作，擬通過(guò)研究制定《信息安全技術(shù) 軟件供應(yīng)鏈安全要求》提升國(guó)內(nèi)軟件供應(yīng)鏈各個(gè)環(huán)節(jié)的規(guī)范性和安全保障能力。

　　國(guó)家出臺(tái)的一系列政策法規(guī)、標(biāo)準(zhǔn)制度是保障軟件供應(yīng)鏈安全，維護(hù)網(wǎng)絡(luò)空間安全的堅(jiān)實(shí)后盾，然而，如何評(píng)估和判斷軟件各環(huán)節(jié)中的實(shí)體、要素及行為是否達(dá)到相應(yīng)安全要求目前尚未形成共識(shí)。當(dāng)前，軟件產(chǎn)品和服務(wù)在電子政務(wù)、軍事裝備、航天航空等領(lǐng)域發(fā)揮了無(wú)可替代的作用，一旦發(fā)生安全事件危害嚴(yán)重。為了緩解軟件供應(yīng)鏈攻擊給政治安全、軍事安全、網(wǎng)絡(luò)空間安全等帶來(lái)的諸多隱患和威脅，亟需構(gòu)建軟件供應(yīng)鏈安全評(píng)估機(jī)制，全面保障軟件產(chǎn)品和服務(wù)安全。

　　四、建立全流程軟件供應(yīng)鏈安全評(píng)估機(jī)制，推動(dòng)相關(guān)政策法規(guī)和標(biāo)準(zhǔn)制度的落地實(shí)施，進(jìn)一步提升軟件供應(yīng)鏈安全保障能力，維護(hù)網(wǎng)絡(luò)空間安全

　　全流程軟件供應(yīng)鏈安全評(píng)估機(jī)制可從國(guó)家政策層面、管理措施層面和技術(shù)評(píng)估層面，明確對(duì)軟件供應(yīng)鏈開(kāi)發(fā)、交付和使用各環(huán)節(jié)涉及的實(shí)體、要素的約束要求，同時(shí)，評(píng)估各種實(shí)體、要素帶來(lái)的安全風(fēng)險(xiǎn)，并由權(quán)威機(jī)構(gòu)對(duì)評(píng)估達(dá)標(biāo)的軟件產(chǎn)品和服務(wù)發(fā)放電子簽名或證書(shū)，如圖所示。

　　圖 全流程軟件供應(yīng)鏈安全評(píng)估機(jī)制

　　在國(guó)家政策層面，持續(xù)加強(qiáng)國(guó)家層面在軟件供應(yīng)鏈安全方面的戰(zhàn)略引導(dǎo)作用，制定專(zhuān)門(mén)針對(duì)軟件供應(yīng)鏈的法律法規(guī)，完善軟件供應(yīng)鏈安全評(píng)估政策體系。軟件產(chǎn)品和服務(wù)作為 ICT 的重要組成部分已遍布我國(guó)社會(huì)的各個(gè)角落，與國(guó)民工作生活息息相關(guān)，現(xiàn)有政策法規(guī)尚未針對(duì)軟件供應(yīng)鏈各個(gè)環(huán)節(jié)實(shí)體、行為、要素明確約束要求，應(yīng)在現(xiàn)行法規(guī)制度基礎(chǔ)上，結(jié)合國(guó)內(nèi)軟件供應(yīng)鏈發(fā)展速度快、代碼復(fù)用率高、綠色軟件普遍等特點(diǎn)，構(gòu)建符合中國(guó)特色的軟件供應(yīng)鏈安全評(píng)估政策體系。

　　在管理措施層面，加強(qiáng)軟件供應(yīng)鏈各個(gè)環(huán)節(jié)的管理安全評(píng)估，督促供應(yīng)方、需求方加強(qiáng)組織管理，提升軟件開(kāi)發(fā)、交付及使用的規(guī)范性和安全保障能力。保障軟件供應(yīng)鏈安全需要開(kāi)發(fā)環(huán)節(jié)、交付環(huán)節(jié)和使用環(huán)節(jié)的所有參與角色共同努力。供需雙方應(yīng)積極貫徹落實(shí)相關(guān)政策法規(guī)，建立軟件供應(yīng)鏈組織管理制度規(guī)范。評(píng)估機(jī)構(gòu)作為第三方機(jī)構(gòu)按照上位法律法規(guī)標(biāo)準(zhǔn)制度要求，對(duì)供需雙方的組織管理制度規(guī)范進(jìn)行評(píng)估，確保其能約束參與人員、組織結(jié)構(gòu)依照安全管理規(guī)定和要求完成軟件的開(kāi)發(fā)、交付及使用。

　　在技術(shù)評(píng)估層面，增強(qiáng)軟件供應(yīng)鏈技術(shù)安全評(píng)估工作，迅速識(shí)別軟件供應(yīng)鏈各環(huán)節(jié)實(shí)體、要素的安全威脅，最大限度消除安全隱患，維護(hù)網(wǎng)絡(luò)空間安全。隨著相關(guān)國(guó)家標(biāo)準(zhǔn)的實(shí)行和立項(xiàng)，軟件供應(yīng)鏈安全評(píng)估領(lǐng)域?qū)⑦M(jìn)入快速發(fā)展階段。當(dāng)前，評(píng)估機(jī)構(gòu)的評(píng)估工作集中于代碼成分分析，通過(guò)分析項(xiàng)目源代碼中復(fù)用的開(kāi)源項(xiàng)目，發(fā)現(xiàn)歷史漏洞、安全隱患、許可證沖突等安全問(wèn)題，對(duì)于軟件供應(yīng)鏈上游的開(kāi)發(fā)工具安全、中游的交付渠道和交付范圍安全、下游的補(bǔ)丁和更新安全等缺乏評(píng)估手段和能力。軟件供應(yīng)鏈安全關(guān)乎網(wǎng)絡(luò)空間安全、人民安全等重大國(guó)家安全事項(xiàng)，單一機(jī)構(gòu)或團(tuán)隊(duì)難以完成軟件供應(yīng)鏈的全部安全事項(xiàng)評(píng)估。應(yīng)依據(jù)上位政策法規(guī)，構(gòu)建全流程軟件供應(yīng)鏈安全評(píng)估機(jī)制，制定軟件供應(yīng)鏈技術(shù)安全評(píng)估規(guī)章制度，打造能夠高標(biāo)準(zhǔn)完成軟件供應(yīng)鏈安全評(píng)估的技術(shù)聯(lián)盟，研發(fā)開(kāi)放性的軟件供應(yīng)鏈安全評(píng)估技術(shù)平臺(tái)，快速識(shí)別并修復(fù)軟件供應(yīng)鏈開(kāi)發(fā)、交付和使用環(huán)節(jié)實(shí)體、要素存在的安全風(fēng)險(xiǎn)，對(duì)于評(píng)估達(dá)標(biāo)的軟件產(chǎn)品及服務(wù)出具相應(yīng)的電子簽名和證書(shū)，使供需雙方迅速確認(rèn)軟件是否安全，同時(shí)，配合相關(guān)法律法規(guī)、標(biāo)準(zhǔn)、制度的落地實(shí)行，進(jìn)而維護(hù)我國(guó)網(wǎng)絡(luò)空間安全。

　　五、總結(jié)與展望

　　軟件產(chǎn)品和服務(wù)已經(jīng)滲透到當(dāng)前社會(huì)的各個(gè)角落，與人們的工作生活密不可分，為防范安全事件發(fā)生，建立完善的安全評(píng)估機(jī)制，充分開(kāi)展軟件供應(yīng)鏈安全評(píng)估工作，勢(shì)在必行。構(gòu)建全流程軟件供應(yīng)鏈安全評(píng)估機(jī)制，打造能夠高標(biāo)準(zhǔn)完成軟件供應(yīng)鏈安全評(píng)估的技術(shù)聯(lián)盟和開(kāi)放性技術(shù)評(píng)估平臺(tái)，能為軟件開(kāi)發(fā)、交付、使用等環(huán)節(jié)中供需雙方提供安全技術(shù)支撐；能夠緩解軟件供應(yīng)鏈管理、技術(shù)層面存在的安全威脅和風(fēng)險(xiǎn)挑戰(zhàn)，最大程度避免軟件供應(yīng)鏈領(lǐng)域出現(xiàn)網(wǎng)絡(luò)安全的“黑天鵝”“灰犀?！笔录?；能夠推動(dòng)相關(guān)政策法規(guī)和標(biāo)準(zhǔn)制度的落地，保障軟件供應(yīng)鏈安全、維護(hù)網(wǎng)絡(luò)空間安全。