在数字化时代，软件供应链安全至关重要。随着应用的在线化、数据化、智能化发展，安全已成为产品不可或缺的能力，而非仅是附加保护。安全责任扩展至设计、制造、生产全过程，而非仅限于使用与运营。面对严峻网安挑战，企业应转变理念，追求更安全的软件而非依赖更多安全软件，构建自主可控、安全可信的软件供应链体系，实现从被动防护到主动免疫的安全能力提升。

随着互联网迅猛发展，软件供应链安全事件频发，其特性复杂多样，威胁广泛且隐蔽，攻击成本低而回报高，检测难度大。任一环节受击均可能引发连锁反应，危及国家网络安全。因此，软件供应链安全应视为基础设施安全的关键，亟需更广泛、深入的关注与强化。

近年来，网络安全事件频发，网络攻击伴随灰色产业链滋生，严重威胁国家关键信息基础设施、业务系统及公民信息安全，损害日益加剧。

公安机关在全国范围严打网络违法犯罪，源头围剿黑灰产团伙，有效保障国家网络安全，为构建清朗网络空间贡献力量。

近年网络攻击中，恶意代码传播占大比例，尤其伪装合法的恶意软件传播迅速影响广。传统特征识别如MD5、关键字防护常失效，增加恶意代码发现与防护难度。

披着“合法”外衣的恶意软件引各国关注，微软定义其为软件供应链安全攻击。我国公安机关及安全企业监测发现，此类恶意代码仍蔓延，威胁国家网络安全。

软件供应链具有极强互联网特性。传统制造业、食药供应链的流程与标准已完善，有明确定义和规范。软件供应链虽具互联网特性，但其业务流程和关键因素基本属性未变。为便于理解，本文对比了两者关键环节。

软件供应链的三个关键流程。软件供应链可概括为开发、交付、应用三环节。开发涉及需求、编程、测试等；交付通过网络或介质给最终用户；应用则涵盖下载、安装、使用至卸载的全过程。

应用环节是软件供应链流向的重要维度。应用环节揭示软件供应链流向：办公软件安装量最高（75%），休闲娱乐次之（60%）。网络安全软件覆盖最广（80%）。免费软件占主导，质量参差，来源不明。

软件供应链安全面临新挑战：非法攻击者通过修改源码、编码环境植入恶意代码，散布于下载渠道诱导下载。这不同于传统攻击手段，影响整个供应链安全。任一环节受攻，均可能引发连锁反应，危及国家网络安全。

供应链环节可能遭受的风险

软件开发环节供应链风险。发布渠道不统一，工具及库安全检测不足，编程人员安全意识薄弱，易引入病毒或后门。自主开发时忽视安全，外采购买则引入更多风险。测试环节工具与人员操作不当，也可能导致恶意代码感染。

软件交付环节供应链风险。发布渠道缺乏监管，个人发布渠道泛滥，传输、存储、发布过程易遭篡改。厂商推广捆绑软件形成灰色产业链，缺乏审核机制。DNS劫持、CDN节点篡改等导致恶意软件下载。

软件用户应用环节供应链风险。安装源及工具存隐患，盗版软件激活工具风险高。升级包未经认证存安全风险，用户难分辨。卸载工具尤其第三方工具，亦存安全隐患。

软件供应链安全是全球化挑战，源于行业特性。CNCERT报告揭示代码层缺陷问题。为应对此，国内外政府与企业正积极采取措施，加强安全防护。

制定软件供应链标准、规范。美国政府通过《ICT供应链风险管理标准》及VET项目，明确了软件供应链各环节的标准与要求，有效降低了供应链风险，为行业树立了标杆。

营造安全可靠的软件资源社区。国外互联网巨头联合建设的Grafeas项目，强化源码安全，全过程展现作者身份、代码记录等。微软SDL等流程，将软件开发“链条化”，各环节均施加安全保障，提升整体安全性。

组织软件供应链攻防演练、竞赛。针对软件供应链各阶段，开展攻防演练竞赛，融合多方技术力量，探索出可行的安全解决方案，如阿里巴巴“功守道”大赛，成效显著，具有借鉴意义。

随着软件供应链给网络安全带来的安全风险，国家相关部门应切实采取有效措施，社会各界应广泛参与，共同营造网络清朗空间。

国家网络安全监管部门。保障软件供应链安全需多措并举：制定法律规范与标准体系，加强监管与检测，严厉打击违法犯罪，协同各方力量共治。通过完善法规、强化监管、加大打击力度及合作共治，确保软件供应链各环节安全可控。

国内科研院所和互联网企业。构建安全可靠资源渠道，强化安全检测，提升检测能力；加强风险共享通报，及时上报威胁，全面评估影响，协同解决问题。

软件用户。选可靠下载渠道，避免非必要软件；严控资源升级卸载，拒用盗版工具；提升安全防护力，增强攻击成本难度，及时发现异常行为。