软件供应链安全相关监管要求

引言

软件供应链是指软件从开发到交付到使用的整个过程中涉及的所有组织、人员、活动、资源和技术的集合。软件供应链具有复杂性、动态性、分布性和多样性等特点，涉及多个主体、多个环节、多个层次和多个领域。软件供应链不仅是软件产品和服务的生产者和提供者，也是软件产品和服务的消费者和使用者，构成了一个复杂的网络系统。

软件供应链面临着多方面的安全风险和挑战，如恶意代码植入、源代码泄露、依赖组件损坏、更新篡改、配置错误、许可证违规等，可能导致软件功能缺陷、性能下降、数据泄露、系统崩溃等严重后果，甚至威胁到国家安全、社会稳定和公共利益。随着互联网技术的发展和普及，软件供应链安全问题日益突出，成为网络安全领域的一个重要课题。

软件供应链安全是指保障软件供应链各方参与者在整个生命周期中能够有效地防范和抵御各种内外部威胁，确保软件产品和服务的可靠性、完整性、可用性和可信赖性。软件供应链安全对于提升我国软件产业的竞争力和创新能力，保障我国信息化建设和网络空间主权，促进我国经济社会发展和国家治理现代化具有重要的意义。

目前，全球外对于软件供应链安全的关注度不断提高，出台了一系列相关的标准、规范、法律和政策，旨在建立一套完善的软件供应链安全管理体系，规范软件供应链各方参与者的行为和责任，提高软件供应链安全水平。

全球及中国关于软件供应链安全相关的监管趋势如何？

欧美法律法规

2021 年 5 月 12 日，拜登政府签发《改善国家网络安全行政令》[1] 明确要求联邦政府必须采取行动，迅速提高软件供应链的安全性和完整性，并优先解决关键软件问题。此行政令是在 Solarwinds 投毒事件及科洛尼尔输油管攻击事件背景下发布的。 2022 年 4 月，美国食品药品监督管理局 （FDA） 在 FDA-2021-D-1158《医疗器械网络安全指南草案》[2] 中建议医疗器械企业在上市前提交时将“网络安全材料清单”替换为“软件材料清单”。

2022 年 5 月 5 日，美国国家标准与技术研究院（NIST）发布 SP 800-161《联邦信息系统和组织的供应链风险管理实践》[3] 标准，该标准文件用于指导联邦政府如何科学管理软件供应链安全风险。

2022 年 8 月，美国国家安全局 （NSA）、网络安全和基础设施安全局 （CISA） 以及国家情报总监办公室 （ODNI） 联合发布发布了《保护软件供应链：开发人员推荐实践指南》 [4]，对开发者、软件供应商及软件使用方如何提升软件供应链安全提供指导。

2022 年 9 月 14 号，美国政府发布《通过安全软件开发实践增强软件供应链的安全性》[5] 的备忘录，该备忘录要求所有为联邦机构提供软件产品及服务的第三方必须提供符合标准的 SBOM 以证明自己软件的安全性，同时通过这种方式来帮助联邦政府机构在发现新漏洞时快速识别相关风险。

2022 年 9 月 15 日 欧盟发布了题为《网络弹性法案》[6]（Cyber Resilience Act）的草案，旨在为联网设备制定通用网络安全标准。法案要求所有出口欧洲的数字化产品都必须提供安全保障、软件物料清单 SBOM 、漏洞报告机制，以及提供安全补丁和更新。违反规定的公司将面临最高 1500 万欧元或全球营收 2.5% 的罚款。

自 2021 年以来（实际更早几年开始）欧美先是政府层面发布了一些关于软件供应链安全防护的法规及标准，紧接着各行业开始陆续出台了相关的监管要求和落地指南及标准，从联邦政府及关键基础设施企业严格要求开始，逐步将需求传导到了整个软件及数字化行业，从而在欧美涌现了以 snyk 为代表的大量解决软件供应链安全需求的安全厂商。

国内法律法规及标准

2018年 10 月 10 日，国家市场监督管理总局和中国国家标准化管理委员会正式发布了国家标准GB/T 36637-2018《信息安全技术 ICT供应链安全风险管理指南》。该标准面向我国信息通信技术（以下简称ICT）供应链安全，旨在提高网络运营者ICT供应链安全管理水平，切实保障我国重要信息系统和关键信息基础设施的ICT供应链安全风险。

2021 年 7 月，工业和信息化部 网信办 公安部 印发 《网络产品安全漏洞管理规定》[7]，致力于规范网络产品安全漏洞发现、报告、修补和发布等行为，防范网络安全风险 。

2021 年 10 月， 中国人民银行、中央网信办等五部门发布关于规范金融业开源技术应用与发展的意见[8]，意见文件对金融行业的开源软件安全治理提出了明确要求。

2021 年 11 月，银保监会向所有金融机构发布《关于供应链安全风险提示的函〔2021〕371 号》 。

2022 年 3 月 7 日，国家药监局器审中心发布《医疗器械网络安全注册审查指导原则（2022 年修订版）》，文件要求医疗器械产品需为用户提供全部现成软件清单的能力。

2022 年 9 月 30 日 关于国家标准《信息安全技术 软件供应链安全要求》[9] 征求意见稿征求意见的通知发布，这是国内完全针对软件供应链安全的又一个国家级标准。

2022 年 10 月 30 日，国家标准《信息安全技术 软件产品开源代码安全评价方法》[10] 立项完成，启动制定。

2023 年 5 月 1 日，GB/T 39204-2022《信息安全技术关键信息基础设施安全保护要求》将正式实施，其中在 7.9 节对供应链安全管理提出明确要求。

当前软件供应链安全风险在全球及中国都是共识的严重安全威胁，国家层面正在密集出台相关的法律法规及标准文件，指导各行业加速软件供应链安全的治理工作，以保护国家关键基础设施的安全性和用户的数据安全。

软件供应链安全的实践案例和经验教训

近年来，软件供应链安全事件频发，给全球网络空间造成了巨大的损失和影响。以下是一些典型的软件供应链安全事件，以及从中可以借鉴或避免的软件供应链安全的实践经验和教训。

• SolarWinds事件：该事件于2020年12月被曝光，是一起涉及美国政府部门和私营企业的大规模网络间谍活动。事件的核心是美国网络管理软件公司SolarWinds的Orion平台被黑客植入了恶意代码，导致该平台的18000多个客户在更新软件时被感染了后门程序，从而使黑客能够远程控制并窃取这些客户的数据和信息。该事件暴露出了软件供应链安全的薄弱环节，如软件开发过程中的安全漏洞、软件交付渠道中的安全风险、软件更新机制中的安全缺陷等。该事件也提醒我们了软件供应链安全的重要性，如软件供应商需要加强自身的安全防护、软件用户需要加强对供应商的安全审查、软件监管者需要加强对软件市场的安全监督等。
• Kaseya事件：该事件于2021年7月发生，是一起涉及全球数千家企业和机构的大规模勒索软件攻击。事件的核心是美国远程管理软件公司Kaseya的VSA平台被黑客利用了一个未公开的漏洞，导致该平台的约1500个客户在使用软件时被感染了REvil勒索软件，从而使黑客能够加密并勒索这些客户的数据和资产。该事件暴露出了软件供应链安全的漏洞利用方式，如黑客利用零日漏洞进行攻击、黑客利用供应链关系进行传播、黑客利用勒索软件进行敲诈等。该事件也教育我们了软件供应链安全的防御措施，如软件供应商需要及时修复和公布漏洞、软件用户需要及时备份和恢复数据、软件反恶意软件组织需要及时发布和更新解决方案等。

墨菲安全企业软件供应链安全治理框架

墨菲供应链安全系列产品是通过多维度的资产扫描，深度识别资产中使用的外部依赖，结合全、准、快的风险知识库，准确识别漏洞风险和开源许可证风险，并提供专业、便捷的风险修复方案，帮助企业高效的治理供应链安全风险。

在整体解决方案方面，墨菲安全会帮助客户建立一整套软件供应链安全治理框架，从管理体系和控制体系帮助客户至上而下建立软件供应链安全体系，解决开源组件、开源软件和闭源软件的安全风险。

事前：主要以预防为主，在引入组件和编写代码时对组件和代码进行卡位和检测。

事中：主要以处置为主，在编译、部署阶段对项目进行扫描，并通过卡位方式防止项目携带风险上线。

事后：主要以应急为主，针对已上线项目进行风险预警，发现风险软件及时止损。

为完成控制体系，墨菲安全提供各类基础技术能力的支撑，包括：私有源管理、资产盘点、漏洞检测、漏洞修复等等。

结论

软件供应链安全是一个重要而紧迫的课题，关系到我国软件产业的发展和竞争力，关系到我国信息化建设和网络空间主权，关系到我国经济社会发展和国家治理现代化。我们需要高度重视软件供应链安全问题，加强软件供应链安全的标准制定、合规评估、风险管理、能力建设等方面的工作，提高软件供应链安全水平。我们也需要加强软件供应链各方参与者之间的合作与协调，建立一个共建共治共享的软件供应链安全治理体系，共同努力，共同提高软件供应链安全水平。

本文参考链接：

[1]https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/

[2]https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-medical-devices-quality-system-considerations-and-content-premarket-submissions

[3] https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final

[4]https://media.defense.gov/2022/Sep/01/2003068942/-1/-1/0/ESF_SECURING_THE_SOFTWARE_SUPPLY_CHAIN_DEVELOPERS.PDF

[5]https://www.whitehouse.gov/wp-content/uploads/2022/09/M-22-18.pdf

[6]https://ec.europa.eu/newsroom/dae/redirection/document/89543

[7]http://www.gov.cn/gongbao/content/2021/content_5641351.htm

[8]http://www.cac.gov.cn/2021-10/27/c_1636928705274546.htm

[9]https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20220930173005&norm_id=20211108000018&recode_id=48921

[10]https://mp.weixin.qq.com/s/Hr8qYtcOCs3GKzQ7Vpx_Cw