企业供应链安全体系建设思考

企业供应链安全

信息安全里面的供应链安全，是狭义范围的供应链安全，其最终安全问题是体现在应用系统上的问题。供应链的软件组件会持续支撑整个应用系统的生命周期，如果组件出现问题，会直接影响到应用系统的可用性安全性。应用系统的供应链安全，实际上是由三个部分组成的。分别是应用安全里面软件开发中的依赖包（log4j），基础安全里面的应用运行组件（phpstudy），办公安全里的开发IDE（xcodeghost）。

供应链安全的建设落地

1、状态调研及评估：调研安全建设状态，评估建设完成度。

2、决策工作内容：结合调研结果，结合公司整体的建设方案，来决定工作内容，内容顺序，落地方案。供应链安全建设中，优先级最高的是依赖包供应链的安全建设，其次是基础IT组件，其次是办公终端IDE安全。一般公司的安全部门都可以完成的，也就是在应用安全里的代码审计部分，实现自动化的统计依赖包，建立清单，跟随代码审计更新。