方案介绍

源码级软件供应链安全解决方案聚焦开源软件安全和漏洞扫描与检测，解决了企业在软件供应链中的，尤其是开源软件使用过程中的漏洞风险、合规风险等并提出了配套的安全解决方案，提升了企业对软件供应链安全攻击事件的防护、检测和响应能力，避免安全事故造成的重大损失和负面影响。

基于本方案为客户构建的供应链智能安全分析平台，推动了软件安全工具的技术发展，提升了软件供应链的防护检测能力，帮助企业提升软件交付质量，化解开源技术风险，构建应用系统安全能力，提升企业整体的技术创新能力，同时降低了企业的信息管理成本，提高信息化建设的质量与效率，建立了软件供应链安全的可信生态。

应用场景及价值

根据源码级软件供应链安全理解决方案建设的软件供应链安全智能分析平台，推动了企业在软件国产化上的进程，由于其平台使用解耦合的模块式开发架构设计，并支持本地数据中心部署场景和云端分布式部署场景，同时还进行了国产化适配，包括多种成熟的国产数据库和国产中间件，因此可以适应更多范围的实际应用场景。

本方案已在金融、能源、通信等行业进行了应用落地，重点完善开源安全治理，持续建立风险监控和漏洞修复体系，帮助企业在符合监管要求的情况下，建立清晰的软件供应链安全策略，推动了国内相关政策、标准、体系的建设和落地实施，促进了整体开源生态的发展。在学术上，推动了开源软件安全研究和治理在国内的研究水平，推动了相关科研理论的进步，提升了行业产学研转化能力，联合高校积极培养软件安全领域的人才，用多维度的驱动力，激发了社会各界对软件安全市场的关注度。同时，该方案引领了国内软件安全技术水平的发展，形成了良好的示范效应，保障了我国软件关键核心技术自主可控，促进降本增效，提升产业合力，推动我国数字经济高质量发展。

应用案例

根据源码级软件供应链安全理解决方案的实施规划，为江西裕民银行构建软件供应链安全智能分析平台，实现了江西裕民银行信息化建设及运营过程中的软件供应链安全保障功能，其中主要集成了软件成分分析功能模块、软件源代码安全审计功能模块、软件物料清单管理功能模块和软件供应链安全体系构建与DevSecOps集成模块。

根据方案所建设的软件供应链安全智能分析平台已在江西裕民银行上线使用。从源码层解决供应链安全，使IT人员全面掌握组件、版本、漏洞、授权以及相应的升级信息等。通过对软件供应链中所有软件资产的漏洞检测、跟踪和修复建议，能够降低软件供应链中软件产品的设计、开发、上线、使用和运维各环节的安全风险。

软件供应链安全智能分析平台不间断对被引用组件的实时更新和检测，并按照各部门、项目、关心的重要资产进行软件资产分布视图展示，让管理者对自身项目做到一目了然，为评估软件资产价值提供直接有力依据。对组件、许可证、漏洞清单进行多维度展示，辅助安全决策，提供精准、合理的修复方案。

平台上线后，将安全检测融合到现有研发体系，并完成自动化安全检测流水线建设，将大量的漏洞风险和合规问题自动化识别，大大降低了人工成本，提高应用交付速度和质量。

2021年，需求安全评审1600+，人工测试需求620+，软件系统上线前发现漏洞120+，安全漏洞明显减少，高危安全问题下降85%。

在项目的应用过程中，在软件开发生命周期中对开源组件风险引入的安全管控人力成本降低了3人·天/每个风险；在安全运营工作中每个风险的响应处置减少了5个步骤，提升开源组件的运营效率50%；降低了开源组件造成的安全风险，公司合规任务中，避免开源合规问题造成的业务、资金影响，确保了XX银行百亿存贷存款、百万级核心用户资产安全发挥了积极作用。

创新性

根据本方案落地案例并结合相关技术的深入研究，我司在软件供应链安全，尤其是在开源软件安全与漏洞扫描与检测方面，取得了许多突破性进展，申请并取得了30项相关专利和9项软件著作权，参与了5项国家行业级标准建设和8项行业级标准建设，推动了国内软件安全技术的进步。同时本方案技术在功能和应用上，可以完全替代国外技术领先品牌的同类型产品，提升了国产信息安全技术的自主创新水平。