奇安信通过近十年的专注研究，创新打造了软件内生安全——奇安信软件供应链安全解决方案，针对软件供应链安全开发、企业安全管理和行业安全管理三类场景，提供了能够有效分析、检测和应对软件供应链安全隐患的整体解决方案。

成果名称：软件内生安全——奇安信软件供应链安全解决方案

成果单位：奇安信科技集团股份有限公司

数字化时代，软件已经成为人们生产生活不可或缺的必需品。随着软件产业的快速发展，软件供应链引入的安全问题广泛存在（包括代码编程缺陷、不安全的开源组件和第三方软件调用等），使得针对软件供应链的攻击事件逐年递增且日趋严重。奇安信通过近十年的专注研究，创新打造了软件内生安全——奇安信软件供应链安全解决方案，针对软件供应链安全开发、企业安全管理和行业安全管理三类场景，提供了能够有效分析、检测和应对软件供应链安全隐患的整体解决方案。

奇安信软件供应链安全解决方案包括产品和服务两大体系。

一、产品体系

分别针对第三方软件调用、开源软件调用、自主开发三大软件开发场景，将“安全基因”内生于软件开发全过程。

• “天问”软件空间测绘系统主要针对二进制形式的软件开展软件元素的深度安全分析，覆盖桌面软件、系统程序、IoT固件、安卓APP等各种平台；

• “开源卫士”主要针对源代码形式的软件开展开源组件识别、分析和告警，可识别4500多万个开源软件版本，兼容NVD、CNNVD、CNVD等多个漏洞库；

• “代码卫士”主要针对源代码形式的软件开展代码缺陷分析、审计和修复跟踪，支持C、C++、Swift、Java等20多种编程语言，可检测1600多种源代码安全缺陷。上述工具和平台可交由用户自行使用，工具和平台不保留用户源代码。

二、服务体系

包括软件供应链安全“评估-验证-优化”的体系化服务。

• 软件供应链安全评估服务帮助企业建立供应链组件资产台账，包括供应链产品清单和供应商清单，对相关组件、协议等进行安全分析，梳理供应链安全隐患清单，提出评估建议等；

• 软件供应链安全验证服务可在企业测试环境或其它仿真环境，由得到企业授权的专业人员利用相关漏洞进行真实攻击测试，验证软件供应链中存在的安全隐患。也可为企业提供软件供应链安全众测服务，利用社会白帽子的力量帮助企业挖掘软件供应链安全隐患；

• 软件供应链安全优化服务。该服务帮助企业持续跟踪相关第三方软件和开源组件的公开漏洞情况，让企业及时掌握最新的漏洞情报，帮助完成相关漏洞的修复。

　　该方案适用于软件供应链安全开发、企业安全管理和行业安全管理等主要应用场景。

• 帮助软件开发者在开发环节及时消除在第三方软件调用、开源软件调用、自主开发过程中存在的安全隐患，从源头遏制安全事件的发生；

• 帮助企业安全管理者持续评估软件供应链安全风险并提出针对性修复建议；

• 帮助行业管理部门开展软件供应链安全态势监测，及时准确评估突发软件供应链安全隐患和攻击事件的影响范围，实现快速预警和处置。

本成果已经在政府、金融、能源、交通等行业的300多家机构中取得应用，诸如海关总署、交通银行、民航总局、中石油等，累计为客户检测了30多万个项目，涉及100多亿行代码，发现了2000多万个安全隐患；开展了中国规模最大的开源软件源代码安全检测公益计划，累计检测2200多款开源软件；支撑了1项国家标准、3项行业标准的制定工作，为规范软件安全编程、源代码安全审计等工作发挥了重要作用；多次发现操作系统、浏览器等各类软件的重大安全漏洞。