Gartner发布软件供应链安全市场指南：软件供应链安全工具的8个强制功能、9个通用功能及全球29家供应商Market_Guide_for_Sof_759156_ndx.pdf

软件供应链安全是一个关键的风险和合规性问题，但大多数组织都以分散的方式处理它。缺乏一个包罗万象的框架会遗留安全漏洞。通过实施三支柱框架，安全和风险管理领导者可以确保广泛的保护。 对软件供应链的攻击给组织带来重大的安全、监管和运营风险。有数据显示，这些攻击造成的损失将从 2023 年的 460 亿美元上升到 2031 年的 1380 亿美元。 在全球范围内，包括法律法规在内的合规要求以及非正式的行业指导正在实施，以迫使对软件供应链安全 (SSCS) 和应用程序安全风险采取更积极的应对措施。 Gartner 2023 年技术采用调查发现，近三分之二的组织报告称他们已经实施或正在实施 SSCS 计划。尽管如此，多起事件和指标表明，这些努力（通常在整个组织内缺乏协调）未能解决严重的安全漏洞。 ### Gartner发布的软件供应链安全指南解析 #### 一、引言 随着数字化转型的深入发展，软件供应链安全问题日益凸显，成为企业面临的关键风险之一。根据Gartner的研究报告，预计到2031年，软件供应链攻击导致的损失将从2023年的460亿美元飙升至1380亿美元。这一预测不仅揭示了当前软件供应链安全形势的严峻性，同时也为企业提供了加强安全管理的重要参考。本文旨在深入分析Gartner提出的三支柱框架，探讨如何构建全面的软件供应链安全保障体系。 #### 二、软件供应链安全概述 软件供应链安全涉及从软件开发、分发到部署使用的整个生命周期中的安全性保障。随着软件开发过程中的复杂性和依赖性的增加，供应链中的漏洞逐渐成为攻击者的目标。因此，确保软件供应链的安全对于预防网络安全威胁至关重要。 #### 三、软件供应链攻击现状与挑战 近年来，针对软件供应链的攻击频发，这些攻击往往利用供应链中的薄弱环节进行渗透，给企业和组织带来了巨大的安全、监管和运营风险。据Gartner 2023年技术采用调查结果显示，虽然近三分之二的企业已经开始实施或正在实施软件供应链安全计划，但由于缺乏统一的管理框架，这些努力往往未能有效地填补安全漏洞。 #### 四、Gartner的三支柱框架详解 为了解决上述问题，Gartner提出了一套三支柱框架，旨在帮助企业建立一个全面且协调一致的软件供应链安全保障体系。该框架包括以下三个核心组成部分： 1. **供应链风险管理**：强调在整个供应链中识别、评估和缓解潜在风险的重要性。这包括对外部供应商和服务商的评估，以及内部流程和策略的优化。 2. **软件开发安全性**：重点关注在软件开发过程中嵌入安全实践和技术，确保代码的质量和安全性。这涉及到代码审查、静态和动态分析工具的应用等。 3. **持续监控与响应**：确保持续监测软件供应链中的活动，并及时响应可能的威胁。这包括建立快速响应机制，以便在发生安全事件时能够迅速采取行动。 #### 五、实施建议 为了有效应对软件供应链安全挑战，企业应考虑采取以下措施： 1. **建立跨部门协作机制**：通过加强不同部门之间的沟通与合作，确保软件供应链安全管理的全面覆盖。 2. **制定标准化流程**：制定一套标准化的操作流程和政策，以提高软件供应链管理的一致性和效率。 3. **采用先进技术和工具**：利用最新的技术和工具来增强软件供应链的安全性，如自动化测试、威胁建模等。 4. **培养安全文化**：提高员工对软件供应链安全重要性的认识，鼓励他们积极参与到安全管理工作中来。 5. **定期培训和演练**：定期举办安全培训和应急演练，提升员工的安全意识和应对能力。 #### 六、总结 面对日益复杂的软件供应链环境，企业必须采取更加主动和系统化的措施来保护自身免受潜在威胁。Gartner提出的三支柱框架为构建全面的软件供应链安全保障体系提供了一个清晰的方向。通过综合运用供应链风险管理、软件开发安全性以及持续监控与响应等措施，企业可以在不断变化的安全形势下保持竞争力。

在当前快速发展的软件工程领域，软件供应链安全成为全球企业不可忽视的挑战。根据Gartner的研究报告，预计到2028年，全球有80%的组织将遭受软件供应链攻击，这是2024年已知数据的48%的增长。这一数据强调了企业在整个软件开发生命周期中加强安全防护措施的重要性。 在软件供应链中，无论是外部来源还是内部开发的代码，以及开发环境，都可能已经被破坏。软件工程团队必须采取措施保护软件交付过程的完整性。这包括采用包括持续集成和持续交付（CI/CD）在内的安全实践。报告中强调了几个关键发现，包括公开的包管理器中充斥着易受攻击的第三方组件，这些组件可能在关键价值流中被无意中使用；代码构建和交付管道的安全性受到威胁，可能会导致敏感数据泄露或代码被篡改；以及未能执行最低权限策略，使得攻击者能够横向移动，对开发环境造成更大的威胁。 为了应对这些威胁，Gartner提供了一系列推荐措施。组织需要通过强制执行严格的版本控制政策、利用可信内容的工件存储库评估第三方组件，以及在交付生命周期中管理供应商风险来保护内部代码的完整性。组织应该通过配置CI/CD工具中的安全控制、保护秘密信息以及对代码和容器镜像进行签名来强化软件交付管道的安全性。软件工程师的开发环境需要通过实施最小权限和零信任安全模型的原则来确保安全。 这些安全措施和策略需要在整个软件供应链中被广泛采纳，以确保从代码开发到最终部署的每一个环节都具备高度的安全保障。由于软件供应链攻击的隐蔽性和复杂性，企业必须采取积极的预防措施，包括定期的安全评估、持续的监控以及对潜在安全威胁的快速响应机制。 随着软件供应链攻击日益频繁，组织必须提前做好准备，并采取必要的安全措施来对抗这类攻击。企业需要建立一个全面的安全策略，并将其融入到软件开发生命周期的每个阶段中，以此来保障软件供应链的安全，防止潜在的攻击对企业造成破坏性的影响。

“ 开源”是 指源代码 、文档等 设计内容 开放的开 发模式， 是群智 协同、开放共享、持续创新的理念和生产方式。2020 年，根据 Synopsys 发布 的《开源安全和风 险分析报告》显示 ，开源使用数量占 比较高， 在教育、金融、医疗等传统行业渗透率已超过 60%，开源软件已成为企 业构建信息技术的重要选择。 开 源蓬勃发 展一方面 可以突破 技术壁垒 、推动创 新，另一 方面考 虑到 国际竞争关系错综 复杂，开源软件安 全作为软件供应链 安全的重 要环 节，面临着安全漏 洞、知识产权、软 件供应链安全等相 关风险。 在此背景下，认识和了解开源安全风险情况是至关重要的。 主要从 GitHub 热门开源软件视角出发，对开源软件安全风险进行了分析。 本报 告从全新视角带来 开源安全风险新的 发现与突破。报告 共分为五 部分 ，第一部分，首先 介绍开源漏洞的发 展现状及趋势；第 二部分， 聚焦 开源组件生态库的 安全风险；第三部 分，重点围绕组件 按依赖层 级漏 洞传播范围分析； 第四部分，对文件 级漏洞潜在安全风 险及波及 范围 进行讨论。

供应链安全趋势 供应链安全建设方法 供应链安全分析 供应链安全能力支撑 供应链安全建设方法 供应链安全部署等等

16分供应链安全专题研究与治理方案

供应链安全趋势 现代软件开发交付流程 软件供应链攻击识别 从应用系统生命周期看供应链安全 供应链安全治理总体框架 供应链安全治理方法 软件供应链安全：治理实施步骤等

软件供应链安全发展洞察报告（2021年）

2021年开源软件供应链安全风险研究报告.pdf

2021软件供应链安全白皮书