软件供应链安全管理是保护软件开发和交付过程中所有组件的安全性和完整性的重要环节，软件供应链安全国家标准及政策的发布，为企业软件供应链安全管理提供了依据。

本文摘选自软件供应链安全推进工作组指导、苏州棱镜七彩信息科技有限公司主笔的《2023软件供应链安全研究报告》中第八章《保障软件供应链安全能力评估及安全管理实践》旨在展示国泰君安在相关制度下进行的软件供应链安全管理实践。

01软件供应链安全建设目标

国泰君安根据公司开源技术使用情况，结合行业内开源治理痛点问题，提高安全治理效率，从以下几个方面进行建设实践落地。

1) 构建开源软件治理体系，自上而下全面推动治理工作。国泰君安成立开源治理配套组织，建立集团公司及开源软件治理管理办法，构建软件评估模型，建设软件治理相关平台，以解决软件管理不全面、漏洞跟踪繁琐、软件台账凌乱、公共信息缺失等问题。

2) 打造软件供应链端到端闭环管控治理流程。国泰君安通过订阅可信源头仓库，结合软件流水线，打通系统左右两侧安全，以防范、控制和化解相关软件供应链安全威胁风险，实现安全管理前移，溯源分析软件安全合规风险，最终满足软件供应链全流程的治理要求。

3) 整合多维度检测手段，提升平台检测能力，保障软件治理常态化运营。国泰君安通过整合成分分析，灰盒测试、冒烟测试以及多维度探测等工具手段检测代码质量，以达到全流程跟踪洞察每个应用软件的组件漏洞、合规等情况，发现问题第一时间对相关漏洞开展排查修复工作。

4) 基于全栈信创技术实现平台建设。国泰君安基于公司前期信创基础从硬件到软件，自上而下采用全栈信创技术实现软件供应链全链路安全管控平台的设计开发，以解决本质安全的问题，实现可掌控、可研究、可发展、可生产的技术应用。

02软件供应链安全建设成果

1) 设立开源治理组织架构

国泰君安已建立公司级别的开源治理委员会、开源治理工作组、开源组件管理维护团队、IT合规风控团队等组织机构，保证开源治理工作有条不紊推进。

2) 制定公司开源治理管理制度和办法

国泰君安已颁布集团公司级开源软件治理管理办法，规定了各组织职责职能，明确了软件开源治理、开源软件审批、开源软件评估、制品进阶、安全漏洞持续评估等流程管理机制和处置原则。同时，建立了可量化的软件评估体系。从五大维度、三十余细则，全面量化评价软件质量，加强治理委员会和治理工作组对软件全方位的把控治理。

3) 建设公司开源软件治理技术平台

国泰君安落地的开源治理平台在融合开源相关管理规范制度的基础上，基于公司“一云多芯”基础架构体系进行软硬件全栈信创设计，集成实现开源软件全生命周期治理、开源软件安全漏洞溯源、软件资产治理及可视化、漏洞闭环跟踪治理、存量软件管理、软件评估、报表信息管理、内部开源管理等管控治理模块，实现软件全生命周期的可信开发、安全研发，提升软件供应链全流程闭环治理能力。

4) 构建软件供应链安全端到端保护及治理可视化

采用软件供应链端到端全链路的源代码安全方案。该方案包括代码安全测试与漏洞扫描技术，实现安全管理前移，在系统应用的引入，开发、集成、测试、上线、运行等环节进行源代码的安全管理。研发软件供应链安全端到端全流程治理方案。研发供应链全流程软件资产可视化方案。

03软件供应链安全建设成效

国泰君安通过一系列流程制度和平台化建设，完成了开源组织架构配置，制定了开源治理管理办法，搭建开源软件治理平台。通过组织架构、制度体系、技术平台等多方位协同工作，完善了开源软件生命周期的可信开发、安全研发，实现智能应用持续的可信构建、升级和开源软件安全漏洞溯源、组成成分分析、许可合规分析等检测，构建开源软件评估体系，丰富基础公共信息库，保障了开源软件来源可控可溯，安全漏洞快速定位，规整了存量开源软件，规范了新增开源软件流程，提升了软件供应链全流程闭环治理能力，使软件供应链安全得到极大保障，有效防范软件供应链风险事件的发生，支撑业务发展，促进了能力整合，实现公司内部信息共享共治。

[课程]Linux pwn 探索篇！