悬镜&中国电信：软件供应链安全治理与运营白皮书（2022）

而现代软件应用的供应链非常复杂，软件供应链安全管理是一个系统工程，亟需从国家、行业、 机构、企业各个层面建立软件供应链安全风险的发现能力、分析能力、处置能力、防护能力，整体 提升软件供应链安全管理的水平。为此，需要开展全方位的软件供应链安全检测防御方法和技术研 究。第一，开展软件成分动态分析及开源应用缺陷智能检测技术研究，突破高效高准确性的开源应 用安全缺陷动态检测技术的瓶颈，解决基于全代码遍历和代码片段级克隆技术比对的应用安全检测 难题，进一步实现对全球开源应用的全面安全检测，从源头堵住软件供应链安全隐患的源头。第二， 建立全球开源应用的传播态势感知和预警机制，攻克软件供应链中软件来源多态追踪技术，实现对 供应链各环节中软件来源的溯源机制。通过软件来源多态追踪技术监控开源应用的使用传播和分布 部署态势，全面把握有缺陷的开源应用传播和使用渠道，实现对全球开源应用及其安全缺陷的预测 预警。第三，建立国家级 / 行业级软件供应链安全监测与管控平台，具备系统化、规模化的软件源 代码缺陷和异常行为代码分析、软件漏洞分析、开源软件成分及风险分析等关键能力，为关键基础 设施、重要信息系统用户提供日