國內領先的DevSecOps敏捷安全廠商懸鏡安全，聯合中國信息通信研究院（以下簡稱“中國信通院”）正式發布了《2021軟件供應鏈安全白皮書》。這份重量級報告的發布，正值全球范圍內對軟件供應鏈安全關注度空前高漲之際，旨在系統性地剖析軟件供應鏈安全面臨的嚴峻挑戰，梳理關鍵風險環節，并為我國網絡與信息安全軟件開發的健康、可持續發展提供前瞻性的實踐指南與戰略思考。

隨著數字化進程的深入，軟件已成為支撐社會運轉的核心組件，其開發模式也從傳統的封閉、內聚轉向開放、協作的供應鏈模式。開源軟件的廣泛應用、第三方組件的深度集成、外包開發的普遍化，在提升開發效率、加速創新的也使得軟件供應鏈變得異常復雜和脆弱。從影響深遠的SolarWinds事件到Log4j2漏洞的全球性危機，一系列重大安全事件不斷敲響警鐘：攻擊者正越來越多地將軟件供應鏈作為滲透關鍵基礎設施、竊取核心數據的“捷徑”，軟件供應鏈安全已成為關乎國家網絡安全、數字經濟穩定乃至社會公共安全的戰略性問題。

在此背景下，懸鏡安全與中國信通院的此次合作具有重要的現實意義和行業引領價值。《2021軟件供應鏈安全白皮書》系統性地構建了軟件供應鏈安全的分析框架。報告首先明確了軟件供應鏈的定義與范圍，涵蓋了從上游開源項目、商業SDK、第三方組件，到開發、集成、交付、部署、運維的全生命周期。白皮書深入識別了供應鏈各環節的典型安全風險，例如：上游開源項目被投毒、第三方組件存在已知或未知漏洞、開發工具鏈被篡改、軟件分發渠道被劫持、以及軟件更新機制被濫用等。

報告不僅指出了問題，更著重于提供解決方案。它結合懸鏡安全在DevSecOps和軟件供應鏈安全領域的深厚技術積累與豐富實踐案例，以及中國信通院在產業政策、標準制定方面的權威研究，提出了一套覆蓋“事前、事中、事后”的軟件供應鏈安全治理體系。該體系強調安全左移，倡導將安全能力深度嵌入到軟件開發的每一個環節（DevSecOps），通過源代碼安全檢測、軟件成分分析（SCA）、依賴項漏洞管理、制品安全掃描、動態應用安全測試等手段，實現對供應鏈風險的持續監控與閉環管理。

白皮書還對網絡與信息安全軟件的開發提出了特別關注。作為保衛網絡空間安全的“武器”，安全軟件自身的安全性更是重中之重。報告建議，安全軟件開發企業應率先垂范，建立高于行業標準的內生安全開發流程與供應鏈安全管理規范，確保自身產品的可信可靠，從而筑牢整個網絡安全防線的基石。

本次白皮書的發布，是產業界與國家級研究機構通力合作的典范。它不僅為各行業組織，尤其是金融、能源、電信、政務等關鍵信息基礎設施運營者，提供了可落地的安全實踐參考，也為監管部門完善相關標準與政策提供了有力的智庫支持。懸鏡安全表示將繼續攜手中國信通院及產業伙伴，持續深化在軟件供應鏈安全領域的技術創新與生態建設，共同推動安全能力與軟件開發流程的深度融合，助力我國在全球軟件供應鏈安全新格局中構建起自主可控的堅實基礎，為數字中國的建設保駕護航。