新安盟：软件供应链安全技术白皮书

软件供应链安全包括整个软件的开发生命周期，在开发阶段漏洞的引入不止在代码 编写阶段，还有所依赖的开源组件、开发和构建工具等，依照软件的开发和构建过程， 企业需要建设开发过程安全评估能力。在软件交付阶段，作为供应商，除保证交付 软件安全外，也应将软件成分清单一并交付给下游企业，促使整个软件供应链的上 下游都具备依据安全通报、威胁情报监控等第三方信息能够分析、评估软件供应链 安全的基本条件。供应链软件产品交付运行后，供应商应在产品的生命周期内提供 安全保障服务，对产品漏洞及时修复，最终用户也应根据供应商所提供的软件成分 清单纳入企业资产管理范围，定期对资产进行安全评估，结合漏洞预警，对受影响 的产品进行加固和修复。