网络安全标准应用实践案例 | 供应链安全主题之四

GB/T 43698-2024《网络安全技术 软件供应链安全要求》等标准在电信供应链安全应用实践

申报单位：中国电信股份有限公司上海研究院、北京安普诺信息科技有限公司（悬镜安全）

一、案例简介

为提升网信安全技术水平和行业软件全生命周期安全能力，电信研究院经过深入的对GB/T 43698-2024 《网络安全技术 软件供应链安全要求》标准的解读分析，结合长期的市场考察分析，以及对行业落地经验丰富性的综合评估，通过自主研发软件供应链安全管理平台，建设健全供应链风险治理体系。软件供应链安全治理从引入覆盖从软件开发、测试、运营等各个阶段的安全检测技术入手，完善软件供应链安全管理平台，同时通过联合技术公关和生态合作的方式，从技术、运营、管理等多角度入手，全面提高软件供应链安全治理能力。

二、举措与成效

以下从建设流程、关键实践、工具集成三个维度，讲解可信开源组件库在软件供应链安全建设中落地方法 ： 

①可信开源组件库的定义与价值：可信开源组件库是企业或组织内部维护的、经过安全评估的开源组件集合，具备安全性、合规性和可溯源性。核心价值包含：降低供应链攻击风险(如Log4j漏洞事件)、提升开发效率(减少重复安全审查)、满足国标要求(如GB/T 43698-2024)。 

②建设流程：首先建立组件入库标准，要求安全性、合规性、维护状态(开发团队活跃、风险修复响应时间)等满足要求，生成合规组件清单。再者安装SCA工具组件库代理，作组件库入库管控，依靠合规组 件清单审查入库组件。 

③ 存量扫描：持续更新SCA工具检测工具，对开源组件定期全面扫描，梳理严重、高危风险组件，参考修复建议逐步替换：驱除风险组件。 

④增量扫描：对接相关CI/CD以及设置中央仓库和本地仓库之间的代理防火墙，通过设置使得入库的相关开源组件都经过安全扫描，过滤相关安全风险。 

⑤持续监控和更新：自动更新供应链安全情报，对在库组件重新扫描，自动关联分析，并发现告警通知。

三、特色亮点

①提高了企业供应链的透明度和可追溯性，降低软件供应链安全风险，加强企业安全领域的建设运营，实现具备供应链资产风险可视化管理能力‌。

②通过自动化成分分析工具与SBOM（软件物料清单）技术，实现从代码引入到交付部署的全链路资产透明化。系统可自动生成多层级依赖图谱，完成漏洞影响范围定位，并关联CVE/NVD等全球漏洞库实时预警高危组件‌。

③强化供应商产品准入和风险检测，实时监控供应商的‌交付质量、漏洞修复时效及安全事件记录‌。利用依赖包来源追溯，拦截恶意组件投毒攻击，提高软件供应链投毒攻击的防御能力。

④压缩了软件的安全验收交付周期，提高了交付效率。

⑤提高了开发效率，漏洞修复成本降低40%，早期发现减少了返工成本和沟通成本。同时降低了运营成本，通过依赖关系可视化，故障排查时间缩短50%。

⑥稳定了供应商渠道，建立了多源供给策略，避免单一供应依赖，减少了开源组件的断供风险和迁移风险。