软件供应链安全形势分析与几点建议

软件供应链是根据软件生命周期中一系列环节与传统供应链的相似性,由传统供应链的概念扩展而来的。现阶段软件交付过程中涉及商用软件开发者、开源社区、开源开发者、集成交付、系统运维等众多组织和角色。因此,软件供应链安全是指在此过程中来自于各层级软件本身的编码服务过程、工具以及交付渠道的安全。针对软件供应链的攻击,其攻击面从特定的软件本身扩大为包含软件上游供应商的编码过程、工具与交付渠道,同时任何安全问题都会直接关系到下游层级的安全,显著扩大了攻击的影响,并且降低了攻击的难度。