在当前快速发展的软件工程领域，软件供应链安全成为全球企业不可忽视的挑战。根据Gartner的研究报告，预计到2028年，全球有80%的组织将遭受软件供应链攻击，这是2024年已知数据的48%的增长。这一数据强调了企业在整个软件开发生命周期中加强安全防护措施的重要性。 在软件供应链中，无论是外部来源还是内部开发的代码，以及开发环境，都可能已经被破坏。软件工程团队必须采取措施保护软件交付过程的完整性。这包括采用包括持续集成和持续交付（CI/CD）在内的安全实践。报告中强调了几个关键发现，包括公开的包管理器中充斥着易受攻击的第三方组件，这些组件可能在关键价值流中被无意中使用；代码构建和交付管道的安全性受到威胁，可能会导致敏感数据泄露或代码被篡改；以及未能执行最低权限策略，使得攻击者能够横向移动，对开发环境造成更大的威胁。 为了应对这些威胁，Gartner提供了一系列推荐措施。组织需要通过强制执行严格的版本控制政策、利用可信内容的工件存储库评估第三方组件，以及在交付生命周期中管理供应商风险来保护内部代码的完整性。组织应该通过配置CI/CD工具中的安全控制、保护秘密信息以及对代码和容器镜像进行签名来强化软件交付管道的安全性。软件工程师的开发环境需要通过实施最小权限和零信任安全模型的原则来确保安全。 这些安全措施和策略需要在整个软件供应链中被广泛采纳，以确保从代码开发到最终部署的每一个环节都具备高度的安全保障。由于软件供应链攻击的隐蔽性和复杂性，企业必须采取积极的预防措施，包括定期的安全评估、持续的监控以及对潜在安全威胁的快速响应机制。 随着软件供应链攻击日益频繁，组织必须提前做好准备，并采取必要的安全措施来对抗这类攻击。企业需要建立一个全面的安全策略，并将其融入到软件开发生命周期的每个阶段中，以此来保障软件供应链的安全，防止潜在的攻击对企业造成破坏性的影响。

“ 开源”是 指源代码 、文档等 设计内容 开放的开 发模式， 是群智 协同、开放共享、持续创新的理念和生产方式。2020 年，根据 Synopsys 发布 的《开源安全和风 险分析报告》显示 ，开源使用数量占 比较高， 在教育、金融、医疗等传统行业渗透率已超过 60%，开源软件已成为企 业构建信息技术的重要选择。 开 源蓬勃发 展一方面 可以突破 技术壁垒 、推动创 新，另一 方面考 虑到 国际竞争关系错综 复杂，开源软件安 全作为软件供应链 安全的重 要环 节，面临着安全漏 洞、知识产权、软 件供应链安全等相 关风险。 在此背景下，认识和了解开源安全风险情况是至关重要的。 主要从 GitHub 热门开源软件视角出发，对开源软件安全风险进行了分析。 本报 告从全新视角带来 开源安全风险新的 发现与突破。报告 共分为五 部分 ，第一部分，首先 介绍开源漏洞的发 展现状及趋势；第 二部分， 聚焦 开源组件生态库的 安全风险；第三部 分，重点围绕组件 按依赖层 级漏 洞传播范围分析； 第四部分，对文件 级漏洞潜在安全风 险及波及 范围 进行讨论。

供应链安全趋势 供应链安全建设方法 供应链安全分析 供应链安全能力支撑 供应链安全建设方法 供应链安全部署等等

16分供应链安全专题研究与治理方案

供应链安全趋势 现代软件开发交付流程 软件供应链攻击识别 从应用系统生命周期看供应链安全 供应链安全治理总体框架 供应链安全治理方法 软件供应链安全：治理实施步骤等

软件供应链安全发展洞察报告（2021年）

2021年开源软件供应链安全风险研究报告.pdf

2021软件供应链安全白皮书

软件供应链与传统供应链之间的共性及差异性 软件供应链的发展历程 开源和云原生时代改变了传统的软件供应链 软件供应链安全现状 软件供应链风险分析 软件供应链安全治理方法 软件供应链安全应用实践

软件供应链安全现状 DevSecOps的引入 DevSecOps的RSAC演进 DevSecOps的机遇 DevSecOps的几点思考