软件供应链安全管理实践之中国联通

软件供应链安全管理是保护软件开发和交付过程中所有组件的安全性和完整性的重要环节，软件供应链安全国家标准及政策的发布，为企业软件供应链安全管理提供了依据。

本文摘选自软件供应链安全推进工作组指导、苏州棱镜七彩信息科技有限公司主笔的《2023软件供应链安全研究报告》中第八章《保障软件供应链安全能力评估及安全管理实践》旨在展示中国联通在相关制度下进行的软件供应链安全管理实践。

01软件供应链基本情况

中国联通数字化研发平台立足于软件研发的全生命周期管理，对软件供应链安全的组件识别、组件依赖、软件缺陷分析、风险情报感知与预警、软件动态检测与防御、安全编码等多方面进行研究与应用，构建涵盖信创的多场景软件供应链安全分析与检测集成测试平台，保障数字关键基础设施安全稳定。

02软件供应链安全建设成果

1) 实现安全研发运营一体化全周期管控

以AI攻防技术为产品驱动，全面具备SCA各项核心检测技术，并支持无感接入DevOps流程，从安全需求到运行监控、管理等多维度闭环治理威胁。结合行业敏捷安全落地实践经验和软件供应链安全研究成果，形成独特的软件供应链安全管理体系。

图1 软件供应链安全管理体系

已完成源码治理功能，组件分析与漏洞检测功能，与外采的AI知识库完成了对接，初步形成了将安全检测能力左移到软件开发生命周期的需求设计阶段。

从需求设计阶段产品人员利用AI安全知识库，通过情景问答的形式自动生成安全需求，安全知识库与数字化研发平台对接，依据生成的安全需求自动生成安全任务，指派给具体的研发负责人。

平台提供源码治理、组件分析与漏洞检测能力并将两大大基础能力与数字化研发平台的流水线、代码库进行对接，实现安全能力左移至编码阶段，针对符合质量阀要求的代码才允许上传至代码库，实现了安全管控从源头抓起。

2) 构建软件组件分析与漏洞检测机制

面对软件供应链组件分析与组件依赖不清晰问题，DevSecOps内生安全体系提供组件分析于漏洞检测能力，能够进行软件供应链关系图谱分析、软件组件分析、软件关联分析，自动化智能识别软件供应链中各种组件的逻辑关系和组织结构，快速生成组件之间的关系图谱；并能进行漏洞识别与分析漏洞影响范围，提供详细的漏洞修复建议。