數字時代，關鍵信息基礎設施安全穩定運行關系國家安全、國計民生和公共利益，軟件供應鏈安全是關鍵信息基礎設施要面對的重點安全問題之一。近日，美國國家安全局(NSA)、網絡安全和基礎設施安全局(CISA)和國家情報總監辦公室(ODNI)聯合發布了《面向開發人員的軟件供應鏈安全指南》（Securing the Software Supply Chain for Developers），該指南內容可以為國內網絡安全從業人員及關注者提供參考。

本次發布的版本面向開發人員，后續還將發布面向供應商和客戶的版本。該指南根據行業最佳實踐和原則提供指導，原則包括安全需求規劃、從安全角度設計軟件架構、添加安全功能以及維護軟件和底層基礎設施的安全。

指南概述 / 開發過程 融入安全

《面向開發人員的軟件供應鏈安全指南》主要提供了開發者可用于為軟件開發生命周期提供安全保障的相關原則及建議，強調安全軟件開發生命周期是用于確保軟件供應鏈安全的重要過程。該指南從安全產品標準和管理、安全代碼開發、驗證第三方組件、開發環境加固和代碼交付等方面，給出了相應的威脅場景和建議的緩解措施。

軟件供應鏈中的角色與安全活動

安全產品標準和管理方面，給出了開發團隊和產品管理團隊的人員構成建議。

安全代碼開發方面，被細分為內部人員修改或利用源代碼、開源管理實踐、安全開發實踐、代碼集成、客戶報告的缺陷/漏洞問題和外部開發擴展等六個部分。

驗證第三方組件方面，被細分為第三方二進制文件、選擇和整合、從已知和可信的供應商處獲取組件、組件維護和軟件物料清單等五個部分。

開發環境加固方面，被細分為建立漏洞利用鏈和被攻擊的簽名服務器兩部分。

代碼交付方面，被細分為最終軟件包驗證、危及軟件包和更新的潛在戰術和交付系統破壞三個部分。

安全軟件開發過程與生命周期

在供應鏈安全方面，天融信始終堅持自主創新，打造了完整的國產化網絡安全產品技術體系；基于“永不信任，始終驗證”的零信任設計理念，已形成了SDP、IAM、MSG三大技術路線，將DevSecOps安全開發與零信任相結合；積極實踐ATT&CK框架，在產品的設計開發過程中以攻促防，不斷打磨自身產品與服務；將多年在漏洞挖掘、分析、排查、修復等方面積累的實戰經驗，轉化為軟件測試交付運營過程中所需的安全服務能力，同時，依托自有的安全漏洞響應中心不斷提升產品及業務的安全性。

作為中國信通院軟件供應鏈安全實驗室首批成員單位，同時也是中國信通院零信任實驗室副理事長單位，天融信憑借過硬的技術實力已連續九年獲評國家信息安全漏洞庫CNNVD一級技術支撐單位稱號，連續四年榮獲CNNVD年度優秀技術支撐單位稱號。

TOPSEC

自主創新是天融信的基因，開放融合是天融信的理念。未來，天融信將不斷加強在網絡安全領域的研究與實踐，進一步完善供應鏈安全的保障工作，筑牢關鍵信息基礎設施安全新防線，賦能網空新未來。