一、金融行业软件供应链安全治理应用场景

（一）行业背景概述

1、合规要求驱动软件供应链安全治理

我国近年来开始高度重视软件供应链安全问题，不断建立健全相关法律法规及规章制度，以应对高风险的软件供应链攻击。以《网络安全法》为基本法，在等级保护2.0中持续加强了对产品采购和使用、软件开发安全、测试验收、漏洞和风险管理等方面的要求。

软件供应链安全是网络安全管理的重要控制领域，根据《网络安全法》、《网络安全审查办法》等法律法规要求，企业需要加强对软件供应链风险的管控力度。金融行业作为关键信息基础建设中的重点行业，各家单位需要根据国家相关管理法规对自身业务系统的安全保护负总体责任。为落实相关法律法规要求，金融行业企业需要建立完整的软件供应链安全管理体系。

2、高效风险控制措施落实软件供应链安全建设

在国际范围内不断爆发的供应链攻击事件中，软件供应链安全开始崭露头角。不论是攻击趋势的转变、还是新技术带来的供应链风险，都将软件供应链的风险治理推向了更高的关注度。

随着信息化的飞速发展，外包公司为越来越多的中小型客户提供定制化的软件开发能力，以满足其日益增长的软件开发需求。而针对外包开发的软件，其安全性长期缺乏监督，外包公司也通常同时服务于多家客户，单一的代码漏洞可能成倍地向下游客户扩散。

软件供应链具有来源多样性、产品服务复杂性、涉及环节全面性等特点，导致软件漏洞、知识产权风险、信息泄露等安全威胁频发，已经成为网络攻击新“标靶”。在《GB/T 22239网络安全等级保护基本要求》、《关于规范金融业开源技术应用与发展的意见》、《GB/T 36637-2018信息安全技术ICT供应链安全风险管理指南》、《网络产品漏洞管理规定》、《GB/T 30276-2020信息安全技术网络安全漏洞管理规范》等法规中，也明确了防范开源技术和供应链风险的管理要求。因此企业应在安全治理过程中引入具体的风险控制措施，高效落实软件供应链安全建设工作。

（二）面临的主要问题

1、软件开源化趋势增强，安全风险增加

目前开源技术已经成为国内许多企业的首选技术，开源软件漏洞随着GitHub等托管平台大量传播，而开源软件之间复杂的依赖关系，使其漏洞的影响范围进一步扩散，开源漏洞治理困难重重；另外，开源软件还存在开源许可证冲突、知识产权风险等潜在问题，开源知识产权和法律体系亟待完善。

2、软件供应链风险点增多，风险向下扩散

软件供应链日趋复杂且链条过长，导致引入风险的环节增多，风险随软件供应链自上而下扩散，进一步增加了安全检测和维护的难度。特别是在购买商业软件或外包开发时，往往在规划设计与验收阶段疏于对软件安全的考虑，如一些设计缺陷、深层次漏洞难以发现；另外对软件供应链或外包团队的安全开发能力亦缺乏考量。

3、缺乏体系化的软件供应链安全治理方案

现有的软件供应链解决方案未能覆盖整个供应链周期，导致应对措施不全；一些方案配套的工具自动化程度偏低，脱离实际业务，无法在敏捷开发、DevOps、自动化安全运营、云原生等业务场景下发挥有效作用。

（三）实际解决的行业网络安全问题

1、如何基于自身现状，建立软件供应链安全运营治理体系。

在与客户的深入交流及自身的行业调查中，默安科技认识到金融行业采用的软件供应链主要分为：商业软件产品、开源软件和外包研发的软件三种，在应对日益复杂的软件供应链安全威胁时，除了常规的风险排查和漏洞修复外，更需关注的管理机制是：一、在软件供应链管理中覆盖软件引入、使用、监测和下线的全生命周期，全面落实闭环管理；二、在软件使用过程中要完善安全测试、第三方组件管理、运行环境检测、最新威胁影响等安全控制机制。

由此看出，软件供应链安全运营治理体系的重点是：系统化的统筹软件供应链安全治理要求、针对性的建立日常安全运营策略、体系化的定义管理流程并分配具体职责并落实任务。

2、通过哪些技术手段完善软件供应链的全生命周期管理和漏洞管理，并持续提升措施有效性和管理效能。

首先，在日常安全运营工作中，软件供应链涉及的全生命周期管理任务非常繁杂，形成了巨大的运营压力，需要在有限的资源条件下尽量满足管理要求。

其次，软件供应链的漏洞来源多且修复周期长，需要以资产为核心进行聚合、建立漏洞跟踪修复循环、保证漏洞追踪有据可循、有责可追。

因此，如何选取特定的运营工具，将复杂的运营工作抽象出来，通过平台化管理流程提升落地措施的有效性和高效性，使安全团队更加侧重于安全策略而非事务性工作，成为关键问题。

3、如何落实第三方组件中的风险管理及安全事件的应急处置。

第三方组件的安全风险是软件供应链安全治理的核心内容之一，在实际项目中，存在大量使用第三方组件并时常被发现高危漏洞的现象。因此，如何深层次的识别第三方组件和代码中的漏洞及合规风险，如何及时响应和缓解高危风险，成为直接问题。

二、方案介绍

经过近几年的研究和实践，默安科技已经形成了完备的金融行业软件供应链全周期风险治理解决方案，解决方案由一系列自主研发的安全产品、检测工具和配套运营服务构成，通过帮助用户从源头解决软件供应链风险输入、在软件开发、交付、应用阶段对软件供应链安全风险进行全面的治理和管控，实现对风险从发现到解决的闭环跟踪。

（一）提前明确软件供应链安全的需求

在自主研发和驻场开发情况下 ，通过雳鉴SCA、IAST和巡哨·智能资产风险监控系统，管理研发组件库，整治私库开源组件与自研组件漏洞，持续监控私库安全风险、设置哨卡来确保入库组件的安全性等。

（二）在开发阶段严格规范组件的使用

针对自研或离场开发过程中可能引入开源组件漏洞的情况，默安科技建议用户收敛内部的组件使用通道，并仅允许使用已知安全的组件，有条件的用户可以建立内部的开源组件库，利用SCA产品对新增的组件进行安全检测，确定新入库组件、以及库中存量组件的安全性，使得组件库中仅存放已知安全的开源组件。

（三）在交付阶段精准定位软件风险

在外包开发或直采软件情况下，企业应将收敛软件供应链风险的卡点设置在验收环节，除了重点检测软件中的代码漏洞、第三方组件漏洞、合规风险等问题外，还需验证前期双方约定的安全需求是否实现，通过默安科技的雳鉴SCA、IAST和SAST产品组合可以全面发现并验证各类开发安全问题，为软件验收提供数据依据。

（四）在运营阶段持续监视新增风险

运营期间的软件供应链安全，在发布和部署环境、源码运维等方面面临更多的风险，建议对发布和运行软件的主机（含云主机）内外部环境进行持续监控，关注软件代码泄漏问题，可以通过默安科技的巡哨智能资产风险监控系统、剑幕主机安全检测系统、尚付容器安全管理系统来解决运行环境风险和容器安全问题。

（五）实现软件供应链风险闭环跟踪

软件供应链安全治理从来都不是孤立的，默安科技通过雳鉴研发安全管理平台全面覆盖软件供应链周期，积极对接安全检测能力引擎和数据，实现各阶段风险的全程跟踪；同时由默安科技资深团队帮助梳理软件供应链流程、设置安全标准与卡点、威胁建模与需求分析、整合风险数据，跟踪风险修复，最终实现软件供应链安全的闭环治理目标。

三、方案优势

（一）全生命周期治理，效果显著

默安科技金融行业软件供应链安全治理解决方案具备检测手段全、覆盖环节全、适应场景全、平台管理流程全、供应商安全管理措施全等多种优势。不仅能适应多种场景下的安全治理，全面覆盖自主开发、离场/远程外包、购买成品商用软件等不同场景，全面保证风险引入渠道查无遗漏。同时，还通过技术与服务结合的方式来确保软件供应链安全治理的落地效果。

针对软件供应链安全风险治理的重要环节——开源漏洞治理，通过SCA技术的运用帮助企业和组织机构在软件开发过程中“第一时间”发现组件安全问题，极大降低软件安全问题的修复成本，如果在软件交付后发现问题再进行整改，成本要高50～1000倍。且不拘泥于工具范畴而采用更加多样化的治理措施，有效地解决开源漏洞持续爆发的风险影响。

同时，方案贯穿软件的开发、交付和应用阶段，真正实现了软件供应链全生命周期治理的覆盖，可保证各环节向下的交付物安全可控，有效避免风险扩散，也因此避免了因软件供应链安全问题造成的企业品牌形象受损和经济损失。

方案目前已在包括金融行业在内的众多行业，共计数百家政企单位的软件供应链日常安全建设以及攻防演练中有效落地。通过多重有效治理手段的运用，默安科技成功帮助政企用户从源头解决软件供应链风险输入，实现对风险从发现到解决的闭环跟踪，先后节省人力成本数百万元。

（二）全球一流水准的核心技术（SCA、IAST）

软件供应链安全涉及众多元素及环节，具体可抽象成开发、交付、应用环节三部分。针对交付及应用环节的安全防护，主要通过确保分发站点及传输渠道安全。开发环节与软件源代码紧密相关，安全防护较为复杂，涉及四类安全工具：

1、SCA软件成分分析技术

软件成分分析（SCA）技术在近几年是世界上最新也是最热的安全技术领域，在2016-2018年Gartner发布的DevSecOps中均有出现，但每年的关注点不同。在2016年的报告中，强调的是DevSecOps的安全测试和RASP（运行时应用安全保护）；2017年时侧重面向开源软件（Open Source Software）进行安全扫描和软件成份分析；2018年继续强调针对开源软件的软件成分分析。

默安科技作为被Gartner软件成分分析（SCA）市场唯一推荐的中国厂商，其研究成果可实现与研发流程无缝对接，进行软件成分生命周期闭环管理，提供可视化的项目安全分析，以及详细的软件成分风险管理，支持提供便捷一站式1day漏洞响应，具备多种低误报的检测手段，通过STAC威胁建模、SAST测试、SCA测试、IAST测试到运营全流程的嵌入式解决方案，在不增加用户教育成本、不改变工作流程的前提下，实现软件开发全生命周期的安全能力导入，形成DevSecOps解决方案。

除了软件成分可视化管理、漏洞检测全面、License合规风险快速定位等基础功能外，还具备第三方组件库与漏洞数据更加全面、支持检测自研组件安全风险、快速精准定位组件引用位置和引用信息、误报与漏报率低、支持DevOps开发模式等优势。

2、IAST交互式应用安全检测技术

交互式应用程序安全测试是2012年Gartner提出的一种新的应用程序安全测试方案，相对于SAST源码分析和DAST黑盒扫描检测两种技术而言，IAST更像是融合SAST和DAST后的一种折中检测方法，使其不仅具备数据流跟踪能力，还具有更广的检测覆盖面。同时，凭借其远低于SAST与DAST的误报率、统一的安全意识文化、漏洞实时检测、检测结果可操作性强、支持第三方组件的漏洞检测等优势，IAST也是DevSecOps的中流砥柱。

默安科技自主研发的雳鉴IAST具备全面的Web漏洞检测能力，以及软件成分风险检查能力，具备与CI/CD平台深度融合的机制，支持JAVA、NodeJS、Golang、.NET等常见开发语言，通过插桩方式分析数据流，进而进行漏洞检查，可做到无感知、无脏数据的漏洞检测。

同时，除了IAST原本的技术优势，默安科技在实践过程中结合客户场景，也实现了更多的技术创新：包括支持发现个人隐私数据泄露风险、对DevOps模式友好度高、分析第三方组件的安全风险、支持检测Dubbo等分布式框架、全量API接口自动发现、过滤函数自动发现等。

雳鉴系列自发布以来收获了众多客户与第三方机构的推荐与认可。2021年，雳鉴IAST被全球咨询机构Gartner推荐为IAST代表厂商，入选应用安全技术成熟度曲线报告；作为唯一中国厂商连续两年（2020年、2021年）入选Gartner软件成分分析市场指南（雳鉴IAST支持对项目中的第三方库进行检测，可帮助用户迅速定位存在安全风险的软件成分和项目）；同时在关键信息基础设施技术创新联盟主办的2021网信自主创新优秀产品评选活动中荣获“盘古奖”。默安科技也被第三方研究机构数世咨询认可为DevSecOps领域的主力玩家。目前，雳鉴IAST已获得相应软件著作权和2项专利授权。

3、SAST静态应用程序安全测试技术

SAST静态应用程序安全测试技术通常在编码阶段分析应用程序的源代码或二进制文件的语法、结构、过程、接口等来发现程序代码存在的安全漏洞。

默安科技的雳鉴SAST专注于解决软件安全开发流程（SDL）中研发阶段的代码安全问题。在不改变当前研发流程和组织架构的前提下，与代码仓库（如SVN/GIT）无缝对接，实现开发阶段的代码安全漏洞生命周期闭环管理，以最小的代价帮助企业和组织实现源代码安全的自动化检测、漏洞周期管理、安全质量分析，实现源代码安全的可视化管理。

4、DAST动态应用程序安全测试

DAST动态应用程序安全测试技术在测试或运行阶段分析应用程序的动态运行状态。它模拟黑客行为对应用程序进行动态攻击，分析应用程序的反应，从而确定该Web应用是否易受攻击。

随着当前通用漏洞越来越少，框架越来越成熟，在框架中就已帮助解决了大部分通用漏洞，业务逻辑漏洞慢慢成为主流。业务逻辑漏洞检测是DAST类产品最独特的⼀点，也是目前SAST和IAST类的产品几乎不可能解决的问题。同时，默安DAST产品的最大作用也在于对大量目标进行扫描的时候，可以不分语言不分框架，无需在业务上部署东西，直接接⼊流量，开始扫描即可发现漏洞。

四、案例实践：“某全国性证券公司软件供应链安全治理项目”

某证券行业客户在数字化转型的趋势下应用了大量新技术，具备较完善的网络安全运行保障能力，但是应用软件上线后不断被发现存在各种安全漏洞和隐患，随着对外业务应用的频繁更新，安全风险相继爆发，安全部门疲于救火且一直找不到有效的根治方法。默安科技通过初步调研后发现爆发的安全风险主要是从软件的供应链引入的，这类安全风险在企业内部重复出现的频率比较高，内部也没有执行必要的限制和检测，之前头痛医头、脚痛医脚的治理效果并不明显。

因此，客户在默安科技的建议下，针对软件供应链安全问题专门立项，围绕软件供应链周期来构建软件供应链治理体系框架，拆解软件供应链相关环节，并采用技术、运营、管理相结合的方式逐一治理，来确保客户能够有序保障内部应用软件的安全上线。

默安科技在实施前，经过再次的充分调研评估，明确客户的软件交付场景属于外采+自研的复合型场景，因此按实际情况将客户软件生命周期分解为采购、开发、交付/测试、上线和维护5个环节（各环节关键治理点如下图所示）。

接下来，考虑对客户已有的网络安全体系框架进行拓展，增加软件供应链安全的细分体系；另外，考虑利用自动化工具提升对软件供应链安全风险的治理效率；最后，考虑增加运营团队来补充客户现有安全资源，并通过培训等方式提升客户安全团队的技术和运营能力。

通过为期一年的实施，客户具备基本的软件供应链管控能力，安全部门能够在关键节点发现并敦促软件供应链风险的有效解决，内部应用软件上线后出现安全风险的情况大幅减少。客户也在项目实施中积累了大量成果，包括软件供应链安全的体系和各项制度、管理流程、检测技术、评审标准等。同时，企业软件供应链上的相关组织和人员（软件供应商、采购部门、开发人员、测试人员、安全人员等）也得到了提升，一方面在项目中具备了一些软件供应链安全能力，另一方面能有意识地减少经手项目的软件供应链风险引入，间接提升了其他经手项目的安全水平。

五、解决方案总结

作为软件供应链安全领域的先行者和领导者，默安科技凭借多年的实践经验，根据金融行业特性和场景特性为用户量身定制了一套供应链全流程解决方案，其根本落脚点在于协助用户建立具有自身特点的管理体系和技术体系。以实际产生的安全效果和价值为证，帮助用户树立行业典型示范，对国内金融行业乃至整个关键信息基础设施单位提质增效、转型升级发挥明显支撑引领作用。

本案例的可落地性和适应性很强，具有友好的可复制性和推广价值。目前，金融行业企业在供应链安全管理方面面临的问题具有较大相似性，在行业内推广本项目，能够解决行业共性问题。在其他行业推广本项目，可为具有相似场景的企业提供最佳实践指南。