随着科技的飞速发展，软件已成为推动经济发展、社会运行以及工作生活不可或缺的重要力量。据工信部2023年统计，中国地区仅移动应用程序（App）的数量就已超过260万，且这一数字仍在持续增长。这些应用涵盖了PC端应用软件、移动APP软件以及嵌入式软件等多个种类，极大地丰富了用户的选择，也为软件供应链的安全管理带来了前所未有的挑战。

　　近期，黎巴嫩在短短两天之内接连发生寻呼机与对讲机爆炸事件，迅速引发全球关注。随着各界对攻击者引爆手段的种种推测，一个显而易见的“真相”逐渐浮现——这很可能是一起“供应链攻击”。此类攻击通过瞄准产品或服务在生产、维护及流通等环节中的脆弱点，来实施恶意攻击，凸显了当前技术环境中供应链安全的紧迫性。

　　软件供应链安全风险多种多样，贯穿开发、测试、集成、部署各个环节，主要包括恶意代码注入、依赖关系风险、开发环境恶意篡改以及不安全的交付渠道等。黑客通过在这些环节植入恶意代码或操纵软件组件，能够窃取敏感信息、破坏系统功能，甚至威胁到国家网络安全。据相关数据显示，近年来软件供应链安全事件频发，且攻击手段日益隐蔽和高效，给企业和国家带来了巨大损失。

　　面对软件供应链安全的严峻形势，国家层面给予了高度重视，并采取了一系列措施来加强防范和应对。通过出台九游娱乐文化 九游app官方入口相关法律法规，如《网络产品和服务安全审查办法》和《网络安全审查办法》等，明确了软件供应链安全的管理要求，为行业树立了安全标准。同时，国家还积极推动软件供应链安全技术的研发和应用，鼓励企业加强自主创新，提升软件安全检测能力和水平，以应对日益复杂的安全威胁。

　　2024年11月1日，我国即将实施《信息安全技术-信息技术产品供应链安全要求》(GB/T43698-2024)，该标准从软件供应链安全风险管理要求、供方安全要求和需方安全要求三个维度提出了软件供应链的安全要求，可指导供需双方开展风险管理、组织管理和供应活动管理，同时为第三方机构开展软件供应链安全检测和评估提供依据。

　　作为PC端应用软件、移动APP软件、嵌入式软件等各类软件的需求方，我们该如何依照国家条例、办法和标准规范开展软件供应链风险应对工作，保障软件供应链安全呢？国投智能300188）首席技术官（CTO）认为，应该从以下三个方面应对：

　　软件开发阶段是软件供应链安全的首要环节，应跟踪整个开发过程并对开发过程的关键节点进行控制，提升软件供应链安全。

　　一是软件需求方应选择具备信息安全资质的开发商，应具备的资质包括ISO 27001、CMMI-SVC、COBIT等国际标准或行业认证。

　　二是软件开发商应具备安全思维并能通过相应的工具辅助开发过程，例如开发商应具备DevSecOps开发思维，应把安全工作融入软件开发的全生命周期，并对各个过程加以控制。

　　三是软件需求方应对项目节点成果进行跟踪，应设置里程碑节点，在相应节点组织软件开发商进行汇报，及时发现开发过程中存在的安全隐患并加以控制。

　　软件交付阶段是软件供应链安全的重要环节，应在软件产品交付使用前开展第三方安全检测评估，强化软件供应链安全。

　　一是漏洞检测，可采用人工结合工具的方式开展，人工方式主要是组织经验丰富的渗透工程师模拟黑客的手段，对软件系统开展渗透性攻击测试，发现软件存在的各类漏洞；工具方式主要是采用安全检测工具箱，从软件自身、软件依赖的生产环境等多个维度开展自动化扫描，发现软件运营过程中可能存在的漏洞。

　　二是后门检测，除部署定制化开发或已获取版权的商业性软件外，日常工作可能还会用到开源的、免费的软件，针对此类软件应采用静态、动态相结合的调试方式对软件进行检测，发现其可能存在后门或绑定的恶意程序。

　　三是数据检测，软件的最终形态是对各类数据进行处理并反回处理结果，数据处理的全过程包括数据的采集、存储、使用、加工、传输、提供、公开、删除等，所以在软件交付的环节，应采用技术手段对数据处理的全过程开展检测工作，发现数据处理各个过程可能存在的不安全行为。

　　软件使用阶段是软件供应链安全的关键环节，应在软件产品使用过程中加以有效管控，保障软件供应链安全。

　　一是建好软件供应链管理体系，软件需求方应建立软件供应链安全的管理组织、管理制度，并制定相应的保障措施，形成可持续性的管控机制，从软件的全生命周期开展供应链安全管理工作。

　　二是管好应用软件资产台账，只有掌握自身使用的软件情况，才能更好地对软件进行安全管理，因此摸清家底是安全管理的前提，软件资产台账应包括软件开发采用的第三方组建和部署环境等关键信息。

　　三是做好安全监测和应急响应，安全是相对的、不可避免的，为了快速发现、及时消除供应链风险，应采用安全事件监控和处置等技术手段，有效降低安全隐患。

　　作为网络空间安全与社会治理领域国家队，国投智能深刻认识到软件供应链安全对于数字经济健康发展的重要性。公司积极响应国家号召，积极布局软件供应链安全领域，致力于为用户提供全方位、全链条的安全解决方案。

　　依托强大的技术实力和丰富的行业经验，国投智能在软件供应链安全检测、防护和应急响应等方面取得了显著成果。同时，公司还深入利用大模型技术，在软件供应链的关键环节进行深度分析和检测，助力有效识别并防范恶意代码和漏洞，为数字政府、数字经济保驾护航。

　　国投智能控股子公司安胜凭借多年的网络攻防实战经验，推出“星盾”多源威胁检测响应平台（简称星盾），该平台不仅集成前沿安全技术，还融合安胜对网络安全深刻理解和实战经验，旨在为企业提供全方位的保护。

　　星盾是一款基于“云、网、边、端”多源安全大数据的威胁检测与响应（XDR）平台，可实现跨边界、跨区域、跨设备的全方位安全检测和响应。具备统一的数据治理、关联分析、告警降噪、联动封堵、行为画像、溯源取证等能力，以全局的视角进行安全分析研判、自动响应，从而实现企业网络空间安全的高效运营。（点击下图了解详情 ）

　　与此同时，安胜还提供高级渗透测试服务，公司资深网络安全专家将在客户授权许可的前提下，模拟真实世界中极具目的性且高度隐蔽的恶意攻击者，不限路径、不限时间地对企业客户的信息资产进行全方位渗透测试。在渗透过程中发现深藏于系统和环境中的安全漏洞，并提供安全解决方案，修复安全隐患，切断网络攻击风险，保障企业信息化安全。

　　一款专门针对Android、iOS 、Windows端的应用程序进行动静态行为分析的产品。针对手机APP的检测，检测方式灵活，可在检测手机或模拟器上完成检测，全方位对APP访问用户隐私数据行为、后台网络行为进行实时分析，获取APP的关键行为数据，如嫌疑手机号、邮箱、后台服务器、第三方可调证信息等进行检测；

　　9月24日晚间公告集锦：中国能建子公司联合体中标150.96亿元填海工程勘察设计施工总承包项目

　　华为系又一新车发布！售价25.98万元起，“纯血鸿蒙”10月将开启公测

　　国家金融监督管理总局：将金融资产投资公司股权投资试点范围扩大至18个城市

　　人社部：将抓紧制定完善《关于实施渐进式延迟法定退休年龄的决定》配套政策措施

　　“拜登政府正拟定新规阻止销售和进口产自中国等国的联网汽车软硬件” 外交部回应

　　华为系又一新车发布！售价25.98万元起，“纯血鸿蒙”10月将开启公测

　　“拜登政府正拟定新规阻止销售和进口产自中国等国的联网汽车软硬件” 外交部回应

　　人社部：将抓紧制定完善《关于实施渐进式延迟法定退休年龄的决定》配套政策措施

　　已有109家主力机构披露2024-06-30报告期持股数据，持仓量总计2.12亿股，占流通A股29.24%

　　近期的平均成本为11.55元。多头行情中，并且有加速上涨趋势。该股资金方面呈流出状态，投资者请谨慎投资。该公司运营状况尚可，多数机构认为该股长期投资价值较高，投资者可加强关注。

　　股东人数变化：2024-09-20显示，公司股东人数比上期（2024-09-10）增长1952户，幅度3.88%