国内领先的DevSecOps敏捷安全厂商悬镜安全，联合中国信息通信研究院（以下简称“中国信通院”）正式发布了《2021软件供应链安全白皮书》。这份重量级报告的发布，正值全球范围内对软件供应链安全关注度空前高涨之际，旨在系统性地剖析软件供应链安全面临的严峻挑战，梳理关键风险环节，并为我国网络与信息安全软件开发的健康、可持续发展提供前瞻性的实践指南与战略思考。

随着数字化进程的深入，软件已成为支撑社会运转的核心组件，其开发模式也从传统的封闭、内聚转向开放、协作的供应链模式。开源软件的广泛应用、第三方组件的深度集成、外包开发的普遍化，在提升开发效率、加速创新的也使得软件供应链变得异常复杂和脆弱。从影响深远的SolarWinds事件到Log4j2漏洞的全球性危机，一系列重大安全事件不断敲响警钟：攻击者正越来越多地将软件供应链作为渗透关键基础设施、窃取核心数据的“捷径”，软件供应链安全已成为关乎国家网络安全、数字经济稳定乃至社会公共安全的战略性问题。

在此背景下，悬镜安全与中国信通院的此次合作具有重要的现实意义和行业引领价值。《2021软件供应链安全白皮书》系统性地构建了软件供应链安全的分析框架。报告首先明确了软件供应链的定义与范围，涵盖了从上游开源项目、商业SDK、第三方组件，到开发、集成、交付、部署、运维的全生命周期。白皮书深入识别了供应链各环节的典型安全风险，例如：上游开源项目被投毒、第三方组件存在已知或未知漏洞、开发工具链被篡改、软件分发渠道被劫持、以及软件更新机制被滥用等。

报告不仅指出了问题，更着重于提供解决方案。它结合悬镜安全在DevSecOps和软件供应链安全领域的深厚技术积累与丰富实践案例，以及中国信通院在产业政策、标准制定方面的权威研究，提出了一套覆盖“事前、事中、事后”的软件供应链安全治理体系。该体系强调安全左移，倡导将安全能力深度嵌入到软件开发的每一个环节（DevSecOps），通过源代码安全检测、软件成分分析（SCA）、依赖项漏洞管理、制品安全扫描、动态应用安全测试等手段，实现对供应链风险的持续监控与闭环管理。

白皮书还对网络与信息安全软件的开发提出了特别关注。作为保卫网络空间安全的“武器”，安全软件自身的安全性更是重中之重。报告建议，安全软件开发企业应率先垂范，建立高于行业标准的内生安全开发流程与供应链安全管理规范，确保自身产品的可信可靠，从而筑牢整个网络安全防线的基石。

本次白皮书的发布，是产业界与国家级研究机构通力合作的典范。它不仅为各行业组织，尤其是金融、能源、电信、政务等关键信息基础设施运营者，提供了可落地的安全实践参考，也为监管部门完善相关标准与政策提供了有力的智库支持。悬镜安全表示将继续携手中国信通院及产业伙伴，持续深化在软件供应链安全领域的技术创新与生态建设，共同推动安全能力与软件开发流程的深度融合，助力我国在全球软件供应链安全新格局中构建起自主可控的坚实基础，为数字中国的建设保驾护航。