软件供应链安全治理与运营白皮书（2022）

1 软件供应链安全发展背景 1.1 政策驱动下的软件供应链安全 1.1.1 国内外政策法规 1.1.2 国内外标准 1.2 软件供应链安全的重要性 2 软件供应链安全现状 2.1 软件供应链安全事件高发 2.2 软件供应链风险典型特征 2.3 开源软件供应链攻击不断增多 2.4 软件供应链安全常见风险 3 软件供应链安全面临的挑战 3.1 开源技术的使用，安全风险加剧 3.1.1 安全漏洞风险 3.1.2 许可证合规及兼容风险 3.2 云原生技术的兴起，复杂度增加 3.3 软件供应链安全治理痛点 4 软件供应链安全治理体系 4.1 软件供应链安全治理框架 4.1.1 Google SLSA 框架 4.1.2 CNCF in-toto 框架 4.1.3 Microsoft SCITT 框架 4.1.4 软件供应链安全框架对比分析 4.2 治理体系构建 4.3 软件供应过程风险治理 4.3.1 软件来源管理 4.3.2 软件安全合规性评审 4.3.3 软件资产管理 4.3.4 服务支持 4.3.5 安全应急响应 4.4 人员管理 4.5 软件开发生命周期安全风险治理 4.5.1 建设全流程安全开发管控 4.5.2 构建完善的开发运营安全工具链 4.6 软件安全成熟度模型 4.6.1 可信研发运营安全能力成熟度模型 4.6.2 研发运营一体化（DevOps）能力成熟度模型 4.6.3 BSIMM 5. 软件物料清单SBOM 5.1 SBOM 的重要性 5.2 建立通用的SBOM 5.3 SBOM 的生成 5.4 SBOM 的优势 6. 开源威胁治理 6.1 开源软件安全风险 6.2 开源威胁治理技术 6.3 开源威胁治理的前提 6.3.1 树立开源风险意识 6.3.2 明确开源治理规范 6.3.3 建立开源治理制度体系 6.4 开源威胁治理阶段 6.5 开源的SCA 工具 6.5.1 Snyk Open Source 6.5.2 OpenSCA 6.5.3 Veracode SCA 6.5.4 Dependency-Check 6.5.5 不同工具对比 6.6 商业化的SCA 工具