关注安全开发过程，保障软件供应链安全

数字时代，关键信息基础设施安全稳定运行关系国家安全、国计民生和公共利益，软件供应链安全是关键信息基础设施要面对的重点安全问题之一。近日，美国国家安全局(NSA)、网络安全和基础设施安全局(CISA)和国家情报总监办公室(ODNI)联合发布了《面向开发人员的软件供应链安全指南》（Securing the Software Supply Chain for Developers），该指南内容可以为国内网络安全从业人员及关注者提供参考。

本次发布的版本面向开发人员，后续还将发布面向供应商和客户的版本。该指南根据行业最佳实践和原则提供指导，原则包括安全需求规划、从安全角度设计软件架构、添加安全功能以及维护软件和底层基础设施的安全。

指南概述

开发过程 融入安全

《面向开发人员的软件供应链安全指南》主要提供了开发者可用于为软件开发生命周期提供安全保障的相关原则及建议，强调安全软件开发生命周期是用于确保软件供应链安全的重要过程。该指南从安全产品标准和管理、安全代码开发、验证第三方组件、开发环境加固和代码交付等方面，给出了相应的威胁场景和建议的缓解措施。

软件供应链中的角色与安全活动

安全产品标准和管理方面，给出了开发团队和产品管理团队的人员构成建议。

安全代码开发方面，被细分为内部人员修改或利用源代码、开源管理实践、安全开发实践、代码集成、客户报告的缺陷/漏洞问题和外部开发扩展等六个部分。

验证第三方组件方面，被细分为第三方二进制文件、选择和整合、从已知和可信的供应商处获取组件、组件维护和软件物料清单等五个部分。

开发环境加固方面，被细分为建立漏洞利用链和被攻击的签名服务器两部分。

代码交付方面，被细分为最终软件包验证、危及软件包和更新的潜在战术和交付系统破坏三个部分。

安全软件开发过程与生命周期

在供应链安全方面，天融信始终坚持自主创新，打造了完整的国产化网络安全产品技术体系；基于“永不信任，始终验证”的零信任设计理念，已形成了SDP、IAM、MSG三大技术路线，将DevSecOps安全开发与零信任相结合；积极实践ATT&CK框架，在产品的设计开发过程中以攻促防，不断打磨自身产品与服务；将多年在漏洞挖掘、分析、排查、修复等方面积累的实战经验，转化为软件测试交付运营过程中所需的安全服务能力，同时，依托自有的安全漏洞响应中心不断提升产品及业务的安全性。

作为中国信通院软件供应链安全实验室首批成员单位，同时也是中国信通院零信任实验室副理事长单位，天融信凭借过硬的技术实力已连续九年获评国家信息安全漏洞库CNNVD一级技术支撑单位称号，连续四年荣获CNNVD年度优秀技术支撑单位称号。

自主创新是天融信的基因，开放融合是天融信的理念。未来，天融信将不断加强在网络安全领域的研究与实践，进一步完善供应链安全的保障工作，筑牢关键信息基础设施安全新防线，赋能网空新未来。