中國科學院信息工程研究所的網(wǎng)絡安全專家在談及網(wǎng)絡與信息安全軟件開發(fā)時明確指出，確保軟件供應鏈安全絕非單一技術或環(huán)節(jié)的加強，而是一項涉及全生命周期的、復雜的系統(tǒng)工程。這一論斷在當前全球數(shù)字化進程加速、軟件復雜度與依賴性劇增的背景下，具有極其重要的現(xiàn)實指導意義。

專家指出，現(xiàn)代軟件，尤其是大型網(wǎng)絡與信息安全軟件，其開發(fā)過程高度依賴開源組件、第三方庫、商業(yè)軟件模塊以及各類開發(fā)工具和服務。這條從上游供應商、開發(fā)者到最終用戶的“軟件供應鏈”，任何一個環(huán)節(jié)的脆弱性都可能被攻擊者利用，成為滲透整個系統(tǒng)的突破口。從2017年的NotPetya事件到2020年的SolarWinds事件，再到影響深遠的Log4j漏洞，都深刻揭示了軟件供應鏈攻擊的巨大破壞力，其影響范圍廣、隱蔽性強、修復成本高，對國家關鍵信息基礎設施、企業(yè)核心業(yè)務乃至個人隱私構成嚴峻挑戰(zhàn)。

因此，將軟件供應鏈安全視為一項系統(tǒng)工程，意味著需要從多個維度協(xié)同構建縱深防御體系：

1. 源頭管控與風險評估：在軟件開發(fā)伊始，就必須建立嚴格的第三方組件引入審核機制。這包括對開源代碼和商業(yè)組件的來源可信度、許可證合規(guī)性、已知漏洞情況進行持續(xù)跟蹤與評估。建立內部的軟件物料清單（SBOM），清晰掌握軟件中所有成分的“家底”，是進行有效風險管理的基石。

1. 開發(fā)過程安全內嵌：安全不能僅是開發(fā)完成后的“附加測試”，而應內嵌于軟件開發(fā)生命周期（SDLC）的每一個階段。這要求推廣DevSecOps實踐，在需求分析、設計、編碼、構建、測試、部署、運維等全流程中，集成自動化安全工具（如靜態(tài)/動態(tài)應用安全測試、軟件成分分析工具等），實現(xiàn)安全左移，盡早發(fā)現(xiàn)并修復漏洞。

1. 構建與分發(fā)環(huán)境可信：確保用于編譯、構建、打包和分發(fā)軟件的整個工具鏈和環(huán)境本身是安全、可信、未被篡改的。采用簽名驗證、哈希校驗、安全容器等技術，保障軟件制品從構建服務器到用戶終端傳遞過程中的完整性。

1. 動態(tài)監(jiān)測與應急響應：軟件交付并非終點。需要對部署上線的軟件進行持續(xù)的安全監(jiān)控，包括對其使用的第三方組件的漏洞情報進行實時訂閱與預警。一旦發(fā)現(xiàn)供應鏈中的關鍵組件出現(xiàn)高危漏洞，必須有能力快速定位受影響的范圍，并啟動應急響應流程，及時提供補丁或緩解方案。

1. 標準、法規(guī)與生態(tài)共建：系統(tǒng)工程的成功離不開頂層設計。推動建立軟件供應鏈安全的國家標準、行業(yè)規(guī)范，明確各方責任。促進產(chǎn)學研用協(xié)同，共建安全、可信的開源生態(tài)，鼓勵安全編碼實踐，提升整個行業(yè)的基礎安全水位。

中科院信工所專家強調，對于承擔著保衛(wèi)網(wǎng)絡空間重任的網(wǎng)絡與信息安全軟件自身而言，其供應鏈安全的標準應當更高、要求更嚴。因為這些軟件往往是防護體系的核心，一旦其供應鏈被攻破，將導致“堡壘從內部被攻陷”的災難性后果。因此，在開發(fā)此類軟件時，除了遵循上述系統(tǒng)工程方法外，還需采用更高級別的代碼審計、形式化驗證、可信計算等技術，確保其從“出生”到“服役”全過程的可驗證、可信任。

軟件供應鏈安全是數(shù)字化時代的基石性安全議題。將其作為一項系統(tǒng)工程來規(guī)劃和實施，意味著需要技術、管理、流程、標準和生態(tài)的全面聯(lián)動與持續(xù)投入。唯有如此，才能筑牢數(shù)字世界的“地基”，有效應對日益復雜精密的供應鏈攻擊威脅，為國家的網(wǎng)絡安全和數(shù)字經(jīng)濟發(fā)展提供堅實保障。