墨菲安全在软件供应链安全领域阶段性总结及思考

向外看：墨菲安全在软件供应链安全领域的一些洞察、思考、行动

洞察

现状&挑战：

1. 过去开发安全体系是无法解决软件供应链安全问题的；
2. 一些过去专注开发安全领域的厂商正在错误的引导行业用开发安全思维解决软件供应链安全问题，治标不治本；
3. 这导致行业（安全厂商/企业/监管）大部分人对于软件供应链安全仍然缺乏理性的认知；
4. 过去以开发安全为主营业务的安全厂商将越来越无法适应软件供应链安全领域日益成熟的市场需求；

正在发生的：

1. 一些行业头部客户及先行者已经在以新的思路思考软件供应链安全问题并付诸实践；
2. 一些行业监管部门对软件供应链安全领域重视度非常高且视野非常开阔，并且正在付诸行动；
3. 墨菲安全的理念和解决方案正在互联网、金融、运营商、能源及央国企的一些头部客户中被广泛接受；
4. 一些行业的先行者已经在软件供应链领域的开源安全治理方向实现成熟实践

思考

为什么这么说？

一个行业越成熟，那么其生产过程中供应链体系就越完善和标准化，比较典型的案例就是汽车的生产和制造；

以汽车生产和制造为例，这个行业非常成熟，因此其供应链体系也相当完善和标准化。以下是一些具体的表现：

1. 供应商网络：汽车生产和制造需要大量的零部件和原材料，因此汽车公司通常会与一系列供应商建立长期合作关系。这些供应商通常会遵循行业标准和规范，以确保零部件的质量和交货时间。
2. 物流和运输：汽车生产和制造需要高效的物流和运输系统，以确保零部件和产品的及时交付。随着行业的成熟，物流和运输体系也会变得更加标准化，从而提高效率。
3. 质量管理：汽车生产和制造需要严格管理生产制造过程中引入各个组件的质量，以确保最终产品的质量和安全性。从确定需求标准联系供应厂商，到试生产验证和正式生产验收交付，都需要组件达标。随着行业的成熟，质量管理标准也会更加严格和规范。
4. 信息技术：随着信息技术的发展，许多汽车生产和制造公司已经开始采用物联网、大数据、人工智能等先进技术来优化供应链管理，提高生产效率和质量。

总的来说，随着汽车生产和制造行业的成熟，其供应链体系也会变得更加完善和标准化。这不仅可以提高生产效率和质量，还可以降低成本和风险。

反观，今天企业软件应用的生产过程正在经历这么一个逐渐走向成熟的过程，据权威数据统计目前各行业企业的软件应用大概来自供应链的成分占比超过90%，据工信部数据显示2022年全国软件及信息化相关服务市场规模超过10万亿，到2028年还将翻一番来到20万亿，而当前软件产业链在安全上的投入恐怕连0.1%（100亿）都不到，这里面未来发展的空间非常大。

而从当下实际情况来看，我们的软件供应链体系非常缺乏全过程的安全质量管理，这就导致今天我们看到的每天都会爆出大量通用软件的0day漏洞及投毒事件，且大部分软件在爆出这些漏洞后并没有得到妥善的处置，软件供应商无法及时通知他们的企业客户去妥善处置，进而导致使用这些供应商软件的企业客户被入侵、数据泄露、加密勒索、攻防演练期间被攻破等，过去几年比较典型的就是Solarwinds事件、工商银行美国子公司被攻击事件等。

今天软件供应链体系的安全质量管理问题到底出在哪？我认为主要有以下几个方面的问题：

1. 企业的软件应用开发过程引入了大量免费的开源软件，开源软件出现安全问题责任认定是不清晰的；
2. 软件应用的迭代频度非常高，且缺乏严格的管理标准；
3. 企业和商业软件供应商之间的责任边界不清晰，企业缺乏对商业软件供应商的成熟管理体系；
4. 行业缺乏对软件供应体系的严格监管（包括标准/评估体系/执法监管）；
5. 行业缺乏成熟且被广泛认可的软件供应链安全成熟产品及解决方案；

而以上五个核心问题的思考和解决，都与传统的开发安全治理有着巨大的差异，我们必须逐个认证分析并深入解决。传统的开发安全体系（SDL/DevSecOps）更多的关注的是软件研发过程中的安全管控，但是实际上软件供应链安全要贯穿软件从生产、分发、应用、持续更新等全过程的管理。

行动及成果

• 墨菲安全软件供应链商业化产品推出一年，正式签约覆盖互联网、运营商、金融、能源等领域超过50家头部企业

墨菲安全已签约的部分标杆客户（以上排名不分先后）

• 推出了软件供应链安全平台商业正式版v3，其性能和特性可与全球领先的软件供应链安全厂商刚正面
• “也许是”全球首个在线开源软件供应链安全技术社区（OSCS），向超3000家企业提供免费的软件供应链情报服务
• “也许是”国内首个免费软件供应链安全平台产品（murphysec.com），服务超6000家企业的软件应用开发流程的安全保障

向内看：墨菲安全产品及团队快速迭代，赋能推动软件供应链安全体系发展

关于产品：

• 1+3：1个软件供应链安全平台，3大核心产品覆盖包括开源安全治理、许可证合规、0day漏洞及投毒预警、国家大型攻防演练防护等软件供应链安全治理的八大场景
• 2年的时间，墨菲安全软件供应链安全平台从v1.0版本已经来到v3.0的成熟版本，并且仍然以两周一个迭代快速提升
• 签约才是产品服务的开始的理念，持续为客户提供可靠的服务

关于核心技术：

• “也许是”全球首个专业软件供应链安全知识库（SRKB），覆盖软件供应链漏洞、投毒情报、许可证合规、软件健康度、软件可信等数十个维度的专业数据
• 知识库赋能数十家头部企业客户，成为他们安全建设的基础必备能力

关于团队：

• 前梆梆安全COO周欣加盟，搭建成熟的市场营销团队，高效赋能和服务客户
• 五个联创在知识库能力、工程技术、产品、解决方案及社区运营方面都构建了一个成熟稳定的团队，助力墨菲安全的产品及技术体系快速迭代

关于荣誉及资质：

• 国高新
• CCRC
• CNNVD支撑单位
• 入选ISC数字安全创新能力百强
• 入选网络安全优质初创企业HOT50

展望未来：过程是曲折的，未来是光明的

1. 坚定看好软件供应链安全方向机会：

• 成熟软件行业需要成熟的软件供应链体系
• 成熟的软件供应链体系极其缺乏成熟的安全质量管理，这就是未来十年最大的机会

2. 看长，toB没有捷径，坚定坚持埋头积累10～20年，你就是市场上最强的，相信时间的复利

• 软件供应链相比传统汽车等制造业的供应链来说，复杂度高了好几个数量级
• 没有任何一种单一通用的方法能解决软件供应链安全的所有问题
• 需要持续积累和迭代软件风险知识库、软件分析能力、软件供应链管理体系

3. 2024年将会有越来越多的企业开展软件供应链安全治理

• 一方面因为近几年软件供应链安全事件频发，包括国家级的攻防演练中发现的大部分安全问题都是来自供应链
• 另外一方面，互联网、金融、运营商越来越多头部企业已经开展软件供应链安全治理并且获得最佳实践
• 此外，行业已经有成熟的软件供应链安全产品及技术解决方案可支撑企业快速落地