网络安全标准应用实践案例 | 供应链安全主题之三

GB/T 43698—2024 《网络安全技术 软件供应链安全要求》等标准在供应链安全态势感知与威胁情报治理平台中的应用

申报单位：杭州孝道科技有限公司、浙江省电子信息产品检验研究院

一、案例概述

杭州孝道科技有限公司联合浙江省电子信息产品检验研究院，针对软件供应链安全领域普遍存在的开源组件治理难、供应商风险动态评估缺失、复杂攻击链溯源能力不足等痛点，以国家标准深度应用为突破口，设计构建了供应链安全态势感知与威胁情报治理平台。通过研发开源安全分析、交互式应用检测等工具能力，并配套落地GB/T 43698-2024等标准的核心条款，形成了“标准牵引+工具落地+生态共建”三位一体解决方案。目前，在政务、金融等行业的实践中，开源漏洞自动化识别率达90%以上，风险响应时效提升至小时级，推动形成了统一的供应链安全治理流程和框架。该方案为关键行业构建了可复用的供应链安全防护范式，为筑牢数字中国安全底座提供标准化路径。

二、举措与成效

一是针对供应链风险难检测、难溯源问题，自研供应链安全评估模块，配套标准化全生命周期管控流程。通过设计研发在线智能检测和供应链检测子系统，实现标准化的软件供应链风险评估体系，提供对供应关系风险、技术风险和知识产权风险三类主要软件供应链风险的检测能力，并接入AI大模型，构建供应链安全AI智能体，可分别对源代码、二进制文件等进行在线智能检测。通过对软件供应链上下游的关键资产节点进行分类采集，包括实体角色、供应服务、软件系统、外部组件等，动态构建覆盖供应链全生命周期的资产图谱和安全图谱，结合实时威胁情报数据，精准识别技术风险、供应关系风险、知识产权风险等多维度威胁。

二是针对供应链全链路安全治理难的痛点，建立供应链全链路协同管控机制。平台围绕供应链上游、中游、下游各环节建立标准化管控体系：上游实施供应商分级准入，依据供应商安全风险评估体系，动态采集供应商的风险和威胁，提升供应商安全准入门槛；中游强化软件采购检测，通过开源软件安全分析、二进制分析、代码审计发现风险外部组件、代码安全漏洞等，并在平台进行统一的风险管理；下游构建三级溯源机制，在安全事件发生时基于供应链资产图谱和供应链安全图谱定位问题软件或组件的供应商及版本，同步生成受影响企业名单，并发送威胁告警，实现从供应商管理到客户服务的全链路风险可查、可控、可追溯，全面提升供应链协同安全水平。

三、特色亮点

一是供应链安全检测技术创新。自研二进制成分分析、交互式应用安全检测等安全检测能力，首创供应链安全AI检测智能体。

二是供应链管理体系创新。搭建供应链资产图谱和安全图谱管理框架，建立涵盖安全能力、服务水平、企业口碑等多维度的供应商评估模型。

三是供应链风险治理流程创新。基于供应链双图谱管理模式，结合AI大模型与威胁情报数据，构建供应链风险实时监测与精准溯源体系。