诸子笔会 | 11月盘点，打卡积分及月奖公布

Original 是贾贾安在 2022-07-04

安在征文活动11月主题：供应链安全

在本月的征文活动中，参与者金句频出，从“什么是供应链安全”说到“为什么要关注供应链安全”，最终落在从“应该怎样建设供应链安全”，构建了一个较为完整的实践逻辑。在此摘选个中优秀观点，向各位分享。

什么是供应链安全？

►供应链就是生命线！其安全很多时候不止关乎主体安危，间接影响到其他方面。对于网络时代所有存在都有者网络节点的作用，从垂直到平行与周边都有千丝万缕的联系。所以保障自己供应链安全表面是关心自身，实则是生态系统建设。供应链安全实质就是文化安全，表现是文化自信。文化自信来自于价值传递，价值传递无非就是精神与物质双文明。双文明的保障与平衡手段又是价值的传递，这就是供应链安全的闭环。

► 2009年S. Boyson和H. Rossman提出信息通信技术供应链的概念，信息通信技术供应链被认为“是其他所有供应链的基础，是供应链的供应链”。信息通信技术供应链包括硬件供应链和软件供应链，通常涵盖采购、开发、外包、集成等环节。信息通信技术供应链最终的安全很大程度上取决于这些关键环节，并涉及到采购方、系统集成方、网络提供方以及软硬件供应商等。

► 供应链安全是串起多种安全风险分类的安全风险的统称，其实和安全事件发生后肯定不仅仅是单一环节出问题一样，绝大部分安全事件都会关联到供应链安全。所以做好供应链安全就是做好各个安全分类风险的工作，同时做好串联和流转，同步提升。

► 供应链安全管理体系ISO28000是应运输和物流行业对共同安全管理标准的需求而发展并提出的，其最终目标是改进供应链的全面安全。软件的供应链安全也有相通之处。供应链安全说到底还是关注所有环境中使用，并依赖外部的产品和服务。但是在专业分工的现代社会，全球化和逆全球化同时存在。解放以后一直填补国内空白，近几年解决卡脖子问题，实现自主可控。

► 源代码污染是指攻击者通过攻击供应链企业的网络，成功攻击后在代码中增加木马病毒或后门，从而达到攻击下游企业的目的。源代码污染是指攻击者通过各种方式攻击了上游软件供应商，在软件开发、构建、传播、升级的过程中，非法对软件供应商的源代码进行篡改，对软件传播、升级进行劫持，利用软件供应商与企业用户之间的信任关系，达到绕过安全产品检测，最终达到对软件供应商下游企业的攻击目的。

为什么要关注供应链安全？

► 芯片危机从IT行业蔓延到全行业，问题还没缓解，油，气涨价，限电限产导致镁企业不得不停电减产，镁是新能源汽车行业的关键链条，而镁与煤炭关系极为密切，碳达峰碳中和的大背景下多环节交错发难！中国在全球镁矿的地位导致股市出现大的波动……似乎这些蝴蝶效应都来自供应链安全要素叠加！

► 地球只有一个，是人类共同家园。从巴黎协议到京都议定书，人类从环保意识到打造命运共同体在努力！生物多样性公约是人类命运共同体的供应链，是否关注其安全请看《后天》！地球升温只有两度！时间也就30-50年！皮之不存毛将焉附！从一带一路到打造人类命运共同体，就是营造供应链安全！这是从宏观角度出发的；从微观角度，人，财，物；法，理，情都是关键要素；再从细分领域信安意识到代码风险；从仓储到运输；从管理到生产每个链条的环节都应该重视。

► 金融机构要警示开源软件的风险。根据Synopsys新思科技发布的《开源安全和风险分析报告》显示，开源软件在金融行业的渗透率已超过60%。因此开源软件的漏洞也同步渗透到金融行业中，在国家互联网应急中心公布的《2021 年开源软件供应链安全风险研究报告》中，2020年开源软件漏洞数量达到5728项，因此金融行业一定要提高对开源软件安全的管控能力。

► 供应链安全对于组织来说非常重要，在当前进入云计算、大数据、物联网、移动互联网、人工智能的时代，为了更好地服务客户适应市场，大多数组织都通过软件进行组织管理和客户服务，软件更新换代的需求越发频繁，软件供应链中间某一环节出错，就会造成连锁反应，影响组织的业务安全。

► 软件开发涉及到软硬件开发环境部署、开发工具、第三方库等的采购/原料供应、软件开发测试等等，各环节都可能被恶意攻击。软件产品如果在源代码级别被攻击者植入恶意代码将非常难以被发现，并且这些恶意代码在披上正规软件厂商的合法外衣后更能轻易躲过安全软件产品的检测，或许会长时间潜伏于用户机器中不被察觉。

应该怎么建设供应链安全？

► 日企供应链管理思路与实施值得借鉴学习。双元是底线，多元是目标，SC内外部反复不断检讨和优化是常态，0库存与时间管理紧密结合是举措。中国企业大多数认真学习日本企业管理技术是在20世纪八十年代，之后对于日企的精细化管理进行深入研究。的确从我在SONY东南亚总部五年多沉浸式体验对著名跨国企业供应链安全管理有深刻体会！

► 为分析金融机构信息通信技术供应链面对的复杂安全形势，我们需要建立威胁分析模型，以结构化的方式来认识和评估金融机构信息通信技术供应链安全威胁。一整套完善的供应链系统建立起来很不容易，但崩溃的过程却异常快速，资源、人力的合理配置，上下游供应链的备份、冗余。强如美国尚且遭遇供应链断裂危机，这里可以研究的地方很多。

► 2021年10月27日中国人民银行、中央网信办等五部门为规范金融机构合理应用开源技术，提高应用水平和自主可控能力，促进开源技术健康可持续发展提出若干《关于规范金融业开源技术应用与发展的意见》。意见要求金融机构在使用开源技术时应遵循安全可控、合规使用、问题导向、开放创新的原则。并应建立健全金融机构使用开源技术的协调机制、制度体系、技术路线、风险管控、合规审查、标准制度与知识产权保护能力。

► 软件供应链攻击会影响软件开发、软件交付和软件使用过程中的任何阶段，需要采取不同的方式控制安全风险。维护供应链安全稳定，需要有供应链的自主可控，自研产品和国产产品都要有竞争优势。新冠肺炎疫情和美国打压虽然会造成危机，但也是供应链大调整的机遇。

► 通过推进针对软件生命周期进行全流程安全管控的落地实践，有助于从软件生命周期的源头保障软件供应链安全。通过建立软件开发过程中保证软件供应链安全的体系化方法，为软件开发过程中尽可能避免和消除软件的安全缺陷、保证软件供应链安全奠定重要基础。

更多内容及打卡详情，参见诸子云知识星球。

本月共发出9篇以“供应链安全”为主题的专家文章，在此附上链接，供诸位参考。