需求背景：

国家政策法律提出了软件供应链安全的相关要求。结合该国企客户现存的四大风险因素，导致应用系统存在缺陷，给软件供应链安全保障工作带来了巨大的压力。

痛点：

1. 人：应用安全人才短缺，开发人员安全知识和技能薄弱。

2. 文化：错误的认为安全仅是安全部门的责任，安全与开发、运营分离，造成文化壁垒。

3. 流程： 安全与研发流程割裂，通常在研发完成后再考虑安全。

4. 技术：大量引入存在安全隐患的开源组件，缺乏有效技术手段及时发现风险虑安全。

解决方案：

联合该国企客户梳理一套安全开发管理体系制度和一套安全开发管理流程，并对相关人员进行安全开发意识和技能培训；以软件供应链安全管理平台（I3C）为基础，构建一套应用全生命周期安全管理体系；依托软件供应链安全管理平台（I3C），融合一套集源代码、开源组件、制品包等资产安全检测工具链，提供全方位自动化安全检测的能力。

效果：

该国企客户技术人员的安全意识和安全技术能力有了明显的提升；发现问题的能力有了极大的提高，应用系统漏洞的检出率有了很大的提升，应用系统代码漏洞率同比增长22%，应用系统的漏洞同比下降10%，修复时长同比缩短50%以上。

软件供应链安全管理平台3SC支持自主开发、外包开发场景，通过从软件产品的规划、建设、交付、运营全生命周期进行安全管控，快速发现缺陷组件、深度且准确的SBOM清单、许可证合规风险检测、供应商安全风险等安全风险，实现软件开发全过程管控、全方位合规。通过配套安全需求工具箱、自查自证工具箱、安全测试工具箱和验证监测工具箱，提供软件开发规划立项、开发建设、上线测试和运行维护四大阶段安全技术能力，按照软件供应链上游、生产链、下游相关风险进行统一管理，统一管理信创系统开源软件资产风险情况，确保生产制品可信交付、安全运营。

产品优势：

1.全面的供应链可视性：能够提供对软件供应链的全面可视性，包括软件组件、第三方开源软件、依赖关系等。通过全面的可视性，用户可以了解和监控整个供应链的安全性，并及时应对潜在的风险和漏洞。

2.全自动化的风险评估和漏洞管理：自动化进行风险评估和漏洞管理，通过扫描和分析软件组件、第三方库和开源软件的漏洞信息，减少人工工作量，并及时采取措施来保护软件供应链的安全。

3.实时的安全监控和响应能力：提供实时的安全监控和响应能力，通过持续监测和分析供应链中的安全事件和威胁，及时发出警报并采取相应的应对措施。实时的安全监控和响应能力可以帮助用户快速应对安全事件，减少潜在的损失和影响。

1.政府、企事业单位应对网信、公安、行业主管单位、集团总部等区域监管、行业监管和安全审查，自动化记录、管理安全检测报告数据，做到每份报告有迹可循，并对项目信息、供应商信息等信息进行综合管理及展示。

2.为集团的项目管理部门提供抓手，及时掌握并管控各类安全风险，并以大屏、可视化的形式清楚直观地展示各类安全风险，建立全面、完善的软件供应链安全体系，提升系统软件供应链安全防护能力，防止软件“带病上线”