《赛西 · 软件供应链安全观察》系列解读第1期:你以为在做软件,其实你在“组装一条不受控的供应链

很多软件企业一直认为自己做的是软件开发、系统研发、平台建设。但今天的软件行业，已经悄悄发生了变化。现在的软件早已不是“自己从0开始写出来的”而更像“组装出来的”一个现代软件系统背后，可能同时依赖开源组件、第三方SDK、云服务、容器镜像、自动化工具、AI代码生成、外包开发、CI/CD平台。也就是说，今天的软件企业，实际上正在“组装一条复杂的软件供应链”。而很多企业真正的问题是这条供应链，可能并不受控。这也是为什么近年来全球越来越重视GB/T 43698《网络安全技术 软件供应链安全要求》，因为软件行业正在从“功能时代”进入“可信时代”。

过去的软件开发更多是单体系统、自主开发、本地部署，风险相对简单。但今天软件行业已经全面进入云原生、微服务、开源生态、持续交付、AI辅助开发时代。一个系统背后可能包含上百个组件、几十个服务、多个外部依赖。很多企业甚至已经无法完整说清自己的软件到底由什么组成。

举个最简单的例子：开发人员写一行：npm install，背后可能自动下载几十个甚至上百个依赖包。而这些依赖又会继续依赖其他组件，最终形成“依赖链”。问题是很多企业根本不知道这些组件来自哪里、是否存在漏洞、是否被植入恶意代码、是否存在许可证风险。也就是说今天的软件风险很多时候并不在“自己写的代码”而在“引用的东西”。

过去的软件安全主要关注防火墙、主机安全、漏洞修复、渗透测试、本质上是保护“运行中的系统”。但今天攻击者越来越多开始攻击软件生产过程。例如：Git仓库、Jenkins、制品仓库、Docker镜像、开源组件、自动化脚本。因为攻击生产流程比攻击客户系统更高效。一旦成功，攻击者甚至可以“合法发布恶意软件”。这也是近年来软件供应链攻击越来越危险的根本原因。

很多企业会误以为软件供应链只是“第三方软件”，实际上真正的软件供应链远远更复杂。软件供应链通常包括：

也就是说，今天的软件已经不是“单一产品”而是“生态组合体”。

近年来，全球发生了大量典型事件，例如：Log4Shell漏洞事件、Log4Shell漏洞事件，一个日志组件漏洞，影响全球大量企业。很多企业甚至花了数月都无法确认哪些系统受到影响。XZ后门事件、XZ Utils后门事件、攻击者长期潜伏，最终向开源项目植入后门。说明开源项目本身也可能成为攻击入口。SolarWinds事件、SolarWinds供应链攻击事件攻击者直接攻击软件厂商发布流程。最终大量客户通过“正常升级”被感染。

很多企业会误解认为GB/T43698只是“安全标准”，实际上它真正关注的是“软件如何被可信地生产出来”。也就是说，它关注的已经不仅是软件是否有漏洞，而是软件来源是否可信、开发过程是否可信、组件是否可追溯、发布过程是否可信、供应链是否可管理。本质上它是在帮助企业建立“可信的软件生产体系”。

因为未来客户越来越关注软件是否可信、是否使用高危组件、是否具备SBOM、是否能够快速响应漏洞、是否具备安全开发能力。也就是说：未来企业竞争的不仅是“功能能力”更是：“可信能力”。

过去，软件行业比拼功能、性能、交付速度。未来，越来越重要的是可信交付、可追溯、可验证、可持续运营。因为客户最终购买的不仅是软件，更是：“可信的软件”。软件供应链安全真正改变的并不仅仅是安全技术，而是软件行业的生产方式。未来的软件企业不仅要会开发软，更需要管理组件、管理依赖、管理发布、管理风险、管理整个软件供应链。而这正是GB/T 43698《网络安全技术 软件供应链安全要求》正在推动的重要方向。

当前，软件供应链安全正从单一技术问题逐步演变为软件企业的重要治理能力之一。围绕软件可信开发、组件治理、SBOM、开源治理及可信交付等方向，行业正在加速形成新的建设体系与实践框架。

作为长期专注于信息技术领域认证与标准化研究的专业机构，北京赛西认证有限责任公司持续开展软件供应链安全相关研究与认证实践，并围绕GB/T 43698《网络安全技术 软件供应链安全要求》推进企业体系化能力建设与行业实践探索。

在实践过程中，针对不同规模与不同研发模式的软件企业，可结合实际业务特点进行阶段化建设与能力规划。