软件供应链安全治理与运营白皮书（2022）

近日，悬镜安全、ISC、中国电信研究院共同编撰的《软件供应链安全治理与运营白皮书（2022）》。白皮书重点梳理了软件供应链安全现状和面临的挑战，阐述了软件供应链安全治理体系和开源威胁治理方案，旨在帮助读者加强软件供应链安全意识，丰富治理思路。

本白皮书在第一章介绍了软件供应链安全的发展背景，从政策法规驱动和行业标准规范等维度，对软件供应链的重要性进行了详述；在软件供应链安全现状章节详述了近年以来的软件供应链安全相关事件，迄今为止算是比较详细地将此类事件做了总结，并针对三个典型事件进行了剖析，通过系统性整理、分析和研究，归纳总结了软件供应链风险的 8 项典型特征；同时延展了软件供应链安全的风险。相较以往，对诸多内容都做了更充分的说明。详细内容可自行查阅。

告详述了软件供应链安全治理的常用框架，此外还构建了一套较为全面系统的软件供应链安全治理体系，借助安全自动化工具，实现对软件供应链全链路的安全风险治理。

白皮书描述了开源软件安全风险、开源威胁治理技术、开源威胁治理前提、开源威胁治理阶段等内容，也从开源的 SCA 工具和商业化的 SCA 工具两个维度为读者介绍了代表性的 SCA 工具，让读者对各工具有更深入的了解，还包含以下开源 SCA 工具对比表，更详细的对比项请查看白皮书。

不管是国内还是国外的应用安全厂商，都有自己成熟的 AST 工具链、甚至还有平台和服务体系，也衍生了更丰富的工具布局和规划设计，以适应云原生、物联 、产业互联 等不同应用场景的需求。在开源治理中，企业应该选择具有怎样能力的商业化 SCA 工具，白皮书也做了详细介绍。