软件供应链风险评估体系与实践

近年来,随着软件技术的发展及产业形势的变化,软件供应链风险也越发突出,目前受到极大关注。软件供应链可被理解为一个软件在开发和运行过程中涉及的所有代码包(源码包或二进制包)、工具或平台(用于研发、测试、管理等),以及供方、需方等,按照依赖、组合等关系形成的供应关系网络。其中,代码和组件、人和组织、(研发、测试及管理)工具是构成软件供应链的三个要素。一般来说,软件供应链的业务流程可以抽象成开发、交付以及应用三个环节,如图1所示。