軟件供應鏈安全：挑戰與應對之策

一、軟件供應鏈安全現狀

隨著科技的飛速發展，軟件數量呈現爆發式增長，種類也日益豐富。據工信部 2023 年統計，中國地區僅移動應用程序（App）的數量就已超過 260 萬，且這一數字仍在持續增長。如此龐大的軟件數量和豐富的種類，給軟件供應鏈安全帶來了前所未有的挑戰。

一方面，惡意代碼注入成為軟件供應鏈安全的重大威脅之一。惡意軟件數量飆升，網絡安全形勢日益嚴峻。例如，卡巴斯基實驗室數據顯示，1997 年一年共收集 500 個惡意軟件，到 2017 年收集了 200 萬個惡意軟件，而 2023 年惡意軟件數量更是難以估量。惡意軟件可能通過軟件供應鏈的各個環節注入，如開發環節中未檢測的工具集、交付環節的不安全渠道等，一旦成功注入，可能會竊取敏感信息、破壞系統功能，給用戶和企業帶來巨大損失。

另一方面，安全事件頻發也凸顯了軟件供應鏈安全的緊迫性。2023 年我國移動應用安全態勢觀察顯示，全國共有 351 萬款 Android 應用通過移動應用安全平臺進行風險檢測，其中存在高危級漏洞的應用約 239 萬款，占應用總數的 76.89%。這些漏洞可能被攻擊者利用，導致用戶隱私泄露、財產損失等問題。同時，移動互聯網應用植入惡意程序的情況也呈現增長趨勢，全國累計含有惡意程序的應用 29 萬款，惡意程序類型以“流氓行為”為主，對移動用戶的個人信息及財產安全帶來巨大威脅。

總之，軟件數量的增長和種類的豐富，使得軟件供應鏈安全面臨著惡意代碼注入、安全事件頻發等多重挑戰，必須引起高度重視。

二、國家重視與措施

（一）法律法規保障

國家高度重視軟件供應鏈安全，出臺了一系列法律法規，為軟件供應鏈安全樹立了安全標準。《網絡產品和服務安全審查辦法》將軟件產品測試、交付、技術支持過程中的供應鏈安全風險作為重點審查內容，確保軟件產品和服務的安全性。此外，《網絡安全審查辦法》要求關鍵信息基礎設施運營者采購網絡產品和服務時，若影響或可能影響國家安全，應當進行網絡安全審查，進一步明確了軟件供應鏈安全在國家安全中的重要地位。

（二）新標即將實施

2024 年 11 月 1 日，我國即將實施《信息安全技術 - 信息技術產品供應鏈安全要求》（GB/T 43698 - 2024）。該標準從軟件供應鏈安全風險管理要求、供方安全要求和需方安全要求三個維度提出了軟件供應鏈的安全要求。

在軟件供應鏈安全風險管理要求方面，標準明確了基本流程，包括風險評估和處置等環節，為企業提供了一套科學的風險管理方法。同時，標準還提出了軟件供應鏈安全圖譜，幫助企業全面了解軟件供應鏈的各個環節和潛在風險。此外，標準對軟件供應鏈安全風險評估和處置提出了具體要求，確保企業能夠及時發現和應對安全風險。

對于需方安全要求，標準強調了組織管理和供應活動管理。在組織管理方面，需方應建立健全的軟件供應鏈安全管理體系，明確各部門的職責和權限。在供應活動管理方面，需方應加強對供應商的管理，確保供應商提供的軟件產品和服務符合安全要求。

供方安全要求同樣包括組織管理和供應活動管理。供方應建立完善的安全管理體系，加強對軟件開發、交付等環節的安全控制。在供應活動管理方面，供方應確保軟件產品和服務的質量和安全性，及時響應需方的安全需求。

該標準的實施具有重要意義。它可指導供需雙方開展風險管理、組織管理和供應活動管理，為第三方機構開展軟件供應鏈安全檢測和評估提供依據。同時，標準的實施有助于提高我國軟件供應鏈的整體安全水平，保障國家網絡安全和用戶權益。

三、應用開發中的挑戰

（一）安全管理起步階段

軟件供應鏈安全目前仍處于起步階段。軟件公司 ActiveState 的調研顯示，軟件供應鏈安全包括漏洞補救以及在整個軟件開發過程中實施控制措施等關鍵開發流程，但目前這些方面仍不完善。關鍵開發流程如導入環節，將第三方工具、庫等引入組織的過程存在安全風險；構建環節，從源代碼組裝和構建開源工件的過程安全性不足；運行環節，在開發、測試和生產環境中處理、測試和運行構建工件的過程也令人擔憂。

調查結果表明，有 32%的企業將源代碼存放在開源代碼庫中，無法為其提供的軟件安全性和完整性提供保障，構建可重復性水平低，使得源代碼構建的任何內容安全性都難以保證。

（二）CIO 安全意識覺醒

CIO 們已經開始意識到軟件供應鏈安全的重要性。87%的 CIO 認為，軟件工程師和開發人員在安全策略和控制方面做出讓步和妥協，以便更快地將新產品和服務推向市場。但在數字化轉型的背景下，軟件開發環境已成為惡意攻擊者的目標。超過 90%的軟件應用程序使用開源組件，與開源軟件相關的依賴關系和漏洞極其復雜，而開發人員目前專注于創新和開發速度，而非安全性。

不過，CIO 們已經采取了一些措施。85%的 CIO 表示董事會或 CEO 特別強調要加強軟件構建和分發環境的安全性；84%的受訪者表示，用于軟件開發環境安全性的預算在過去一年中有所增加。68%的企業正在實施更多的安全控制，57%的企業正在更新其審核流程，56%的企業正在擴大對代碼簽名的使用，47%的企業正在研究他們的開源庫的來源。

（三）以 DevOps 為中心的安全

DevOps 團隊在軟件供應鏈安全中承擔著重要責任。DevOps 團隊管理軟件開發的運營方面，并負責軟件開發生命周期的每個步驟，他們是軟件供應鏈的實際負責方。在軟件供應鏈安全方面，DevOps 團隊擁有相應的資源、技能和責任，能夠識別和解決整體 DevOps 工作流中的安全問題。

以 DevOps 為中心的安全方法建立在嚴格的流程和持續的自動化測試之上。它關注二進制文件和源代碼，通過分析二進制文件和源代碼，DevOps 團隊能更全面地了解任何影響或發生漏洞利用之處，有助于消除復雜性并簡化安全檢測、評估和補救工作。同時，它進行上下文情境分析，確定哪些漏洞、薄弱環節和風險需要補救，以及最具成本效益的補救方法。此外，它提供軟件供應鏈的整體視圖，分析二進制文件、基礎設施、集成、版本發布和傳播流動，消除信息不同或有限的不同安全系統以及不一致的報告導致的混淆，幫助開發人員確定問題的優先級并快速輕松地進行修復。

四、安全重要性與挑戰

（一）重要性體現

軟件供應鏈安全對數字生態系統的穩定和安全至關重要。首先，可信賴的軟件交付是保障數字生態穩定的基礎。在當今數字化時代，軟件幾乎是所有業務和個人活動的核心，保障軟件在交付過程中不受到惡意篡改，能確保最終用戶獲得可信賴、未被篡改的軟件，從而為數字生態系統的穩定運行提供可靠的軟件支撐。例如，在金融領域，安全可靠的軟件交付能確保交易的準確性和安全性，保護用戶的資金安全。

其次，數據保護是軟件供應鏈安全的重要方面。通過確保軟件供應鏈的安全性，可以有效地降低數據泄露的風險，保護用戶和組織的數據免受攻擊侵害。據統計，全球每年因數據泄露造成的經濟損失高達數千億美元。在醫療行業，患者的個人信息和醫療數據至關重要，軟件供應鏈安全能夠防止這些敏感數據被竊取或濫用，保障患者的隱私和權益。

再者，防止惡意軟件注入有助于避免商業損失和聲譽風險。惡意軟件的注入可能導致系統功能被破壞，影響企業的正常運營。以電商企業為例，惡意軟件可能會竊取用戶的支付信息，導致用戶對企業的信任度降低，給企業帶來巨大的聲譽損失。

此外，確保軟件完整性能夠保障軟件的正常運行。軟件供應鏈安全有助于確保軟件在生命周期內的完整性，防止未經授權的修改或篡改。在工業控制系統中，軟件的完整性對于保障生產過程的安全和穩定至關重要，任何未經授權的修改都可能導致嚴重的生產事故。

最后，保障業務連續性對依賴軟件進行業務運營的企業來說至關重要。一個受損的軟件供應鏈可能導致惡意軟件注入、數據泄露等問題，從而影響企業的業務連續性。例如，在物流行業，軟件系統的故障可能導致貨物運輸延誤，給企業和客戶帶來損失。

（二）挑戰分析

目前軟件供應鏈安全管理面臨著諸多挑戰。

檢測難度大。由于軟件開發中使用的開源組件來源復雜，很難通過“一刀切”的模式對所有軟件進行監控。據相關數據顯示，市場上已完成開發的第三方產品眾多，基于源代碼的 SCA 分析也難以覆蓋，導致問題層出不窮。例如，在軟件開發過程中，可能會引入來自不同開源社區的組件，這些組件的安全性難以統一檢測，增加了安全風險。

修復成本高。大多數企業通常在事故發生后才開始考慮建立風險管控體系，而非提前規劃。此時產品可能已經運營了一段時間，數據量龐大，對底層代碼進行維護通常需要巨大的投入，且難以見到成效。例如，某企業在發現軟件供應鏈安全問題后，進行代碼修復投入了大量的人力、物力和時間，但由于數據量大，修復過程復雜，效果并不理想。

攻擊范圍廣。不少網絡攻擊直接瞄準供應鏈上游，利用供應商自身的漏洞與問題。這種情況會導致供應鏈上游在受到攻擊時，供應鏈下游的企業和組織也會陷入危險之中。此外，下游企業員工的專業素質和安全意識，也將直接影響到實際運營中的風險處理結果。例如，某軟件供應商的安全漏洞被攻擊者利用，導致其下游的眾多企業受到影響，數據泄露風險增加。

開源軟件老舊漏洞多。許多開源軟件中，存在很多老舊漏洞未及時修復，導致大部分最新固件中存在著安全隱患，甚至一些舊有漏洞依然存在于最新設備中。據統計，約有 70%的軟件應用程序使用開源組件，這些開源組件中的老舊漏洞給軟件供應鏈安全帶來了巨大挑戰。

五、安全事件案例啟示

（一）常見攻擊手法

在近兩年的軟件供應鏈攻擊事件中，常見的攻擊手法多樣且危害巨大。

系統后門攻擊：2020 年 12 月 13 日，SUNBURST 后門首次披露。這種攻擊利用流行的 SolarWinds Orion IT 監控和管理套件，開發混入木馬的更新版。多家《財富》500 強、電信企業以及政府機構和大學都受到影響。企業的主要防護弱點是應用程序服務器及其軟件更新路徑缺乏保護，應對策略是進行更完善的設備監控。

開源軟件漏洞：去年底爆發的 Log4Shell/Log4j 漏洞利用了基于 Java 的 Apache 實用程序 Log4j。該漏洞允許黑客執行遠程代碼，運行 Java 的數億臺設備都可能受到影響。堵住此類漏洞需要全面清點企業網絡中的所有聯網設備，并盡快修補受影響的設備。

托管服務及勒索軟件攻擊：勒索軟件團伙 REvil 在劫持 Kaseya VSA 后，將勒索軟件發送給下游的多達 1500 家企業。安全防護弱點是面向互聯網的設備、遠程管理的設備以及托管服務提供商的通信路徑。避免此類情形需要監控托管服務提供商使用的通信網絡，通過行為分析阻止勒索軟件。

云基礎設施安全漏洞：一名亞馬遜員工利用作為亞馬遜網絡服務（AWS）內部人員的便利，盜取了 1 億用戶的信用卡資料，使云上租戶 Capital One 遭到嚴重的數據泄密。應對這種攻擊需要對服務中的訪問行為進行監控，并確保網絡邊緣的安全。

供應商自有設備（BYOD）漏洞：2022 年 3 月，網絡安全企業 Okta 因一家供應商員工在個人筆記本電腦上提供客戶服務功能而部分數據被竊取。這反映出分包商設備和自帶設備策略容易成為攻擊途徑，企業需要清點資產，限制對非授權設備的訪問，并利用網絡監控和行為分析阻止攻擊。

（二）黎巴嫩事件反思

黎巴嫩尋呼機爆炸事件為我們敲響了供應鏈安全的警鐘。此次事件利用供應鏈中的漏洞，將爆炸物預置在通訊設備中，通過遠程信號激活控制，造成了嚴重的人員傷亡和財產損失。

從制造商角度來看，應加強供應商安全風險管理，對上游供應商進行背景審查，識別潛在安全風險；制定供應鏈安全策略和管理制度，包含人員安全、開發安全、環境安全、外包與供應商管理等內容；加強第三方組件的安全性檢測，包括物理安全檢測、固件和軟件惡意代碼、漏洞、后門、木馬、病毒等安全檢測；采取代碼防篡改機制，如數字簽名，以確保軟件、固件和信息的完整性；加強內部人員管理，規范生產流程管理；建立和維護可追溯性的策略和程序，記錄和保留信息系統、組件或供應鏈中產品和服務的原產地或原提供商的信息渠道，同時確?？勺匪菪畔⒑涂勺匪莞挠涗浀目沟仲囆?；建立和維護供應鏈中包括開發、生產、倉儲等環境的物理與網絡環境安全策略，建立相應的訪問控制機制和入侵防范措施；不得根據國外法律向境外機構提供涉及關鍵基礎設施用戶的相關信息。

從需求方角度，關鍵基礎設施單位應制定供應鏈風險管理體系，對供應鏈過程進行全面的風險評估，識別供應鏈中的脆弱性、威脅，并監控安全風險的變化并及時采取安全措施規避供應鏈安全風險；制定供應鏈安全策略和管理制度，包含人員安全、環境安全、外包與供應商管理等內容；加強供應商安全風險管理，對上游供應商進行背景審查，識別潛在安全風險；加強對關鍵軟件、硬件產品的組件成分識別與分析，識別潛在的安全風險；加強產品的安全性檢測，包括物理安全檢測、固件和軟件惡意代碼、漏洞、后門、木馬、病毒等安全檢測；加強防范產品運輸過程、傳輸過程中被替換、篡改的風險，應采用完整性校驗機制，如防拆標簽、數字簽名等，以確保軟件、硬件、固件和信息的完整性；建立和維護可追溯性的策略和程序，記錄和保留信息系統、組件或供應鏈中產品和服務的原產地或原提供商的信息渠道，同時確保可追溯信息和可追溯更改記錄的抗抵賴性。

從監管側角度，針對關鍵基礎設施系統和重要信息系統，對其供應商及相關產品應提出明確的供應鏈安全要求；針對關鍵基礎設施單位提出供應鏈安全的管理要求，定期對供應鏈管理活動進行考核；建立針對關鍵基礎設施單位的供應鏈關系圖譜、產品圖譜等，識別重點供應商、制造商、開發商、服務商，并定向按序進行幫扶和監管，針對識別的重點核心關鍵產品，組織相關力量進行周期性定向安全檢測；建立社會面供應鏈安全風險監測與預警系統，對重點行業的供應商、制造商、開發商、服務商及其產品進行安全監測，如公司營運風險（破產、外資控股、退出中國市場）、技術風險（產品漏洞、系統失陷、源碼外泄等威脅情報），并根據供應鏈關系圖譜采取定向預警；應加強對供應鏈安全相關標準、規范的實施與落地，加快推進具有國內自主知識產權供應鏈安全相關的檢測工具研制與應用；加快投入和建設供應鏈安全監測、預警、響應、處置的感知和防御能力。

六、安全風險因素

（一）十大風險因素

影響軟件供應鏈安全的十大風險因素涵蓋了軟件供應鏈的各個環節，對應用開發帶來了嚴峻挑戰。

代碼中的漏洞：代碼是軟件供應鏈的基礎，開發軟件期間可通過靜態測試查找代碼中的缺陷及安全漏洞。據統計，約有 70%的軟件安全問題源于代碼漏洞。例如，在某大型企業的軟件系統中，由于代碼漏洞被黑客利用，導致大量敏感信息泄露，給企業造成了巨大的經濟損失。

第三方依賴：第三方供應商、合作伙伴和服務提供商在現代軟件生態系統中至關重要，但也帶來了風險。企業代碼可能因第三方依賴面臨風險源，全面了解依賴項及特定第三方對代碼的訪問權限至關重要。例如，某軟件公司因依賴的第三方庫存在安全漏洞，導致其產品被攻擊，用戶數據面臨泄露風險。

應用市場：面向公眾的應用市場可輕松下載新版本的應用程序和服務，但黑客可能破壞這些系統并安裝后門。據相關數據顯示，每年有大量的應用市場遭受黑客攻擊，給用戶帶來了極大的安全隱患。

公共存儲庫：自由和開源代碼占現代軟件的 70 - 90%，公共存儲庫為每個人提供開源項目代碼，但也帶來重大風險。例如，某開發團隊在使用公共存儲庫中的開源代碼時，未進行充分的安全檢測，導致軟件系統被惡意軟件入侵。

構建系統：現代軟件開發工作流程使用持續集成和持續交付，CI/CD 管道的核心可能遭到入侵。常見的構建工具如 Buddy、Jenkins 和 Bitbucket 等都存在被攻擊的風險。例如，某企業的構建服務器被黑客入侵，導致軟件構建過程中被植入惡意代碼。

劫持更新：被劫持的更新帶來軟件供應鏈風險，需認識到這種風險并對相關供應商進行盡職調查。近年來，劫持更新事件屢見不鮮，給企業和用戶帶來了嚴重的損失。

破壞代碼簽名：代碼簽名可能被竊取的數字證書私鑰或使用過期/撤銷的證書所破壞。雖然可以采取緩解措施，但易受攻擊的代碼即使經過簽名也仍然是易受攻擊的。例如，某軟件的代碼簽名被破壞，導致用戶無法確定軟件的真實性和安全性。

獲取整個供應鏈中的資源：對整個供應鏈資源的過度訪問會使軟件安全事件更加嚴重，應實現最小權限原則。例如，某企業由于對供應鏈資源的訪問權限管理不善，導致黑客獲取了大量敏感信息。

連接的設備終端：筆記本電腦和工作站等連接設備涉及軟件供應鏈，安全加固是關鍵。有效的防御措施包括加密、數據丟失保護、高級端點檢測和響應以及標準的防病毒掃描程序。例如，某企業的員工筆記本電腦被黑客入侵，進而影響了企業的軟件供應鏈安全。

供應商和業務合作伙伴：供應商和業務合作伙伴是軟件供應鏈風險的來源，應從源代碼開始檢測依賴關系的安全性，并進行第三方風險評估和驗證。例如，某企業因供應商的安全問題，導致其軟件系統受到攻擊，業務受到嚴重影響。

（二）四大突出風險

企業軟件供應鏈的四大突出風險威脅著軟件的安全性和穩定性。

已知漏洞：第三方組件可能帶有非故意性質的漏洞，許多已知漏洞在 NVD 和 VulnDB 的漏洞數據庫中被公開追蹤。通過軟件組件分析（SCA）解決方案可揭露這種風險，但還需要獲得足夠多的信息以便制定基于風險的決策，并使之自動化。例如，某企業使用的開源軟件存在已知漏洞，被黑客利用，導致系統癱瘓，業務中斷。

未知漏洞（零日漏洞）：編碼中的錯誤可能導致應用程序易受惡意攻擊，如遠程代碼執行（RCE）和拒絕服務（DoS）。這些問題被稱為“零日”問題，團隊能夠在已部署軟件中對其進行修復的時間為零。例如，某企業的軟件系統突然遭受未知漏洞攻擊，導致大量數據丟失，給企業帶來了巨大的損失。

軟件質量風險：企業軟件表面上由 IT 或者外包商開發，實質上背后是成千上萬的第三方開源代碼，企業的 QA 工程質量管理方法和流程對第三方完全失控無效。例如，某企業的軟件在上線后出現嚴重質量問題，經過調查發現是由于第三方開源代碼存在質量問題導致的。

長期支持風險：企業軟件所間接依賴的一些第三方開源零部件，并沒有商業體在背后提供質量承諾和長期支持。例如，某企業使用的開源軟件因創始人退出社區活躍度低而不再維護，企業不得不安排人手去處理該部分代碼，增加了企業的成本和風險。

七、未來展望與應對

（一）未來發展趨勢

加大安全自動化和 AI 應用的投入：未來軟件供應鏈安全領域將進一步加大對安全自動化和人工智能（AI）應用的投入。安全自動化技術可提升軟件供應鏈安全管理效率，如自動掃描和檢測代碼中的安全漏洞，減少手動審查的工作量和出錯率。AI 技術通過學習和分析大量安全數據，自動識別和預測安全威脅，提高安全監測和防護的效率和準確度。例如，在軟件供應鏈中，AI 可以幫助組織更準確地識別和預防潛在的安全風險，實現更智能、更高效的安全管理。然而，這也面臨一些挑戰，如數據收集和使用可能涉及隱私和合規性問題，AI 技術的使用需要大量計算資源，增加企業成本。因此，需要在效益和風險之間找到平衡，加大研發投入，建立合理政策和規范，培養和引入更多專業人才。

加強供應商安全審查和監管力度：供應商的安全狀況將直接影響整個軟件供應鏈的安全性，供應商的安全能力將成為組織選擇軟件供應商的重要標準之一。組織需要建立明確的供應商安全審查和監管制度，對供應商的產品和服務進行全面的安全評估，包括安全策略、安全管理體系、產品安全設計、安全測試等方面的評估。同時，組織還需要對供應商進行必要的安全培訓和指導，提升供應商的安全意識和能力。這將驅動供應商改進安全實踐，創建更安全和透明的軟件供應鏈生態系統。加強供應商的安全審查和監管，能夠有效識別和管理軟件供應鏈中的安全風險，提升整個軟件供應鏈的安全性，降低合規風險，增強企業的市場競爭力。

采用更先進的加密和身份驗證技術：為了保護軟件供應鏈，更先進的加密和身份驗證技術將得到更廣泛的應用。加密技術可以將數據轉換為密文形式，防止未經授權的人員訪問，保護軟件供應鏈中的敏感數據，如源代碼、配置信息和用戶數據等。同態加密技術可以在數據保持加密的狀態下進行計算，在云計算等場景中發揮重要作用。身份驗證技術則用于確保軟件供應鏈中的各個環節都是可信任的，包括驗證開發者的身份、軟件組件的身份和使用者的身份等。未來，身份驗證技術將更加智能化，可以基于行為、環境等多種因素進行驗證，提供更加精確和個性化的驗證服務。加密和身份驗證技術將對軟件供應鏈安全產生深遠的影響，保護敏感數據，增強各環節的信任度，提高整個鏈條的安全性。

（二）應對策略

國家層面：國家應繼續出臺相關法律法規和標準，加強對軟件供應鏈安全的管理和監督。加大對軟件供應鏈安全技術研發的支持力度，鼓勵企業加強自主創新，提升軟件安全檢測能力和水平。建立軟件供應鏈安全監測和預警機制，及時發現和應對安全威脅。加強對軟件供應鏈安全人才的培養和引進，提高軟件供應鏈安全管理的專業化水平。

企業層面

完善管理體系：企業應建立健全軟件供應鏈安全管理體系，將軟件供應鏈安全融入已有的安全管理、安全組織和安全技術體系中。制定內部安全管理制度和標準規范，明確治理原則、人員組織、風險審查、技術合規審查、軟件管理、評估體系等，做到有標準可依，有制度可管。

加強安全測試和漏洞評估：企業應建立合理有效的工具和流程，定期對軟件開發過程中的不同階段進行測試與評估，及時發現供應鏈風險。對漏洞風險進行及時處置，從源頭上做到供應鏈安

全的聯防聯控。




進行第三方審計和認證：完成開源治理工作后，企業可以通過第三方審計和評估來進行軟件相關能力的認證，確保供應鏈的可靠性和安全性。




實施最小權限原則：企業應制定嚴密的訪問控制策略，對訪問需要審計與安全管控資源的人員，實施最小權限原則。確保每個組件和人員僅擁有軟件正常運行所需的必要訪問權限，降低內部威脅和未經授權訪問的風險。





開展人員培訓：企業應積極組織相關人員開展開源知識培訓，增強開源意識，提高開源技術專業知識水平。將安全理念植入企業文化，不斷優化產品，在探索中逐步實現軟件供應鏈安全。

（三）共同構建安全可信數字生態

國家和企業應共同努力，持續加強軟件供應鏈安全管理，構建安全可信的數字生態。國家通過出臺法律法規和標準，加強對軟件供應鏈安全的管理和監督，為企業提供政策支持和指導。企業應積極落實國家政策，建立健全軟件供應鏈安全管理體系，加強安全測試和漏洞評估，進行第三方審計和認證，實施最小權限原則，開展人員培訓等，提升軟件供應鏈安全水平。同時，國家和企業應加強合作，共同推動軟件供應鏈安全技術的標準化和規范化發展，為構建安全可信的數字生態貢獻力量。