新规之下,软件供应链安全该如何建设?

2026年4月7日，国务院正式公布《国务院关于产业链供应链安全的规定》（以下简称《规定》），并自公布之日起施行。这是我国首部针对产业链供应链安全领域的行政法规，标志着我国产业链供应链安全保障工作从分散规制迈向系统治理的新阶段。

《规定》共18条，聚焦关键领域，构建覆盖风险监测、预警、防范、应急处置和反制措施的完整制度框架。其中，第四条明确要求“推进产业链供应链数字化、智能化，提升产业链供应链安全可控水平”，第八条进一步强调要“强化信息平台支撑，引导行业、企业间加强关键领域产业链供应链信息互联互通，并采取有效措施保障数据安全”。这一系列制度设计，与软件供应链安全领域密切相关。数字化、智能化转型意味着软件在产业链中的核心地位日益凸显，而软件供应链安全管理恰恰是“信息互联互通”和“数据安全保障”的关键环节。

《规定》对关键领域产业链供应链安全的要求

《规定》第九条要求，国务院有关部门对关键领域的原材料、技术、设备、产品等供给渠道稳定情况组织开展评估监测，识别产业链供应链安全风险，及时发布预警信息。在信息化、软件领域，这意味着企业需要建立对软件成分、开源组件、第三方库等上游供给渠道的动态监测能力，及时发现高危漏洞和恶意代码风险。

《规定》第八条明确，国务院有关部门推动关键领域产业链供应链信息共享，强化信息平台支撑，并采取有效措施保障数据安全。在软件供应链场景下，信息共享的核心载体正是软件物料清单。通过SBOM实现软件成分的透明化共享，同时确保共享过程中的数据安全，成为组织及企业满足合规要求的必要条件。

《规定》第十一条要求建立健全应急管理制度，制定应急工作预案，出现影响关键领域产业链供应链安全情形时可以采取紧急调度等应急处置措施。当重大软件供应链安全事件发生时，组织及企业需要具备快速响应和处置能力，包括漏洞修复的及时性、受影响范围的精准评估、供应链上下游的协同处置等。

现实挑战：软件供应链安全面临的风险

组织应对策略：从“被动合规”到“主动安全”

第一步：健全软件供应链安全管理制度体系

制度建设是确保各项安全策略有效落地、持续运行的根本保障。组织及企业应围绕软件供应链安全治理目标，建立覆盖全面、层级清晰、可操作性强的制度体系。覆盖软件引入、开发、交付、运维全流程的安全管理制度；配套制定SBOM管理、漏洞处置、供应商审查等操作规范；建立定期审计与问责机制；持续开展制度宣贯与培训，确保制度动态更新、有效落地。

第二步：建立软件资产清单与SBOM管理能力

软件物料清单是软件供应链安全治理的核心抓手。组织及企业应系统梳理自身使用的全部软件资产，包括自研软件、外购商业软件、开源组件等，建立统一的SBOM管理平台，实现软件成分的全面可视化管理。

第三步：构建全生命周期的漏洞检测与评估体系

从开发阶段的源代码检测、开源组件漏洞扫描，到运营阶段的持续监测和应急响应，组织及企业需建立覆盖软件全生命周期的安全检测能力。特别是对于关键领域的信息系统，应定期开展软件供应链安全专项评估，及时发现和处置安全隐患。

第四步：加强供应商安全管理

按照《规定》的要求和GB/T 43698-2024的标准框架，组织及企业应建立供应商安全准入、持续监控和退出管理机制，将软件供应链安全要求纳入采购合同和服务水平协议，定期对供应商进行安全评估。

第五步：提升应急响应与合规管理能力

建立健全软件供应链安全应急响应预案，明确事件分级、信息报送、处置流程和恢复机制。同时，密切关注政策法规动态，确保合规管理体系持续更新。