近几年来，国际上危及关键基础信息设施安全的软件供应链攻击事件频发，也为我国敲响了警钟，“软件供应链安全”逐渐成为业界关注焦点。

但如今，大多数安全厂商都把关注点落在需方（大型企业/组织）如何做好技术层面的安全治理上，忽视了供应链重要组成部分——中小型软件供应商/开发商的安全管理。今天，小编将从“中小型供应商安全管理”的角度，来与大家分享下相关软件供应链安全的思考。

中小企业是数字时代软件供应链的重要组成部分。

工信部副部长徐晓兰女士曾说道：“如果把一条产业链打开看，能发现无数的中小企业在做支撑。” 完善的供应链，往往是由少数占据行业主导的龙头企业，与多数在细分领域具有创新、较强实力的，分布在龙头企业上下游的中小企业构成，软件行业供应链也不例外。

伴随着物联网、人工智能等为代表的新一代信息技术，对数字化转型业务的高速渗透，软件逐渐成为智能化社会不可或缺的基础设施。

随着数字化转型业务的拓展和深入，需要更加丰富的软件体系为支撑。中小规模的软件供应商、开发商拥有专业创新技术与细分领域解决方案能力，逐渐成为数字时代软件供应链上的重要组成部分。

中小企业面临的数字安全挑战正日益升级。

根据《2022 中小微企业数字安全报告》数据统计，存在85.3%的企业遇到过数字安全问题，且同以往相比，遭受网络攻击次数正显著增加；存在近 77.4%的中小企业反馈，他们无法独立、有效处置数字安全问题……

随着大型企业/组织安全防护能力的增强，黑客们也逐渐把矛头转向与之相关联的，但安全防护能力较弱的中小型供应商，中小企业面临的软件供应链安全挑战正日益升级。我们亟需加速助推供应链上的中小企供应商提升软件安全性。

如今，作为“链主”的大型企业内部软件安全建设已比较完善，但居于其软件供应链上下游各环节的中小企业，仍处于“缺人才、缺资金、缺技术、缺安全保障“的困境中，软件安全建设难以提上日程。

那么，如何帮助中小企在“四缺”背景下，加强安全建设，共同构筑安全稳定的软件供应链呢？以下有2点思考。

1、大型企业发挥"链主"优势，通过合作上的安全要求，倒逼作为供应商的中小企提高安全意识，对自身软件系统安全性做全方位检测与优化升级

如：建立供应商安全管理指南、风险评估机制，在软件供应链各环节设置审查卡点；利用资源优势，帮助中小型供应商、开发商筛选专业可靠的第三方检测机构，助其高效提升软件安全性。

2、安全厂商将安全能力云化，打造符合中小企特点的数字安全赋能平台，助力中小规模供应商高效提升软件安全性。

传统的软件安全产品/服务，存在一次性采购费用投入大、交付繁琐、运维成本高等问题，而中小企在数字化转型进程中，安全预算有限，实在难以承担。因此，为提升中小企软件安全性，增强软件供应链安全稳定性，亟需打造更实用高效、更轻便灵活的软件安全产品/服务。

韩非子曾言 “千丈之堤，以蝼蚁之穴溃；百尺之室，以突隙之烟焚”，小节不拘，终累大德，因小失大，终会一失足成千古恨。要想把控风险，必须在它细小的时候着手，防患于未然。软件供应链安全治理也应如此，切莫忽视中小规模供应商软件安全对整体供应链安全的重要性。

开源网安在长期的软件供应链安全实践积累中，已形成完善的中小企软件供应商安全管理制度体系与安全评估技术支撑能力，将助力各企业构筑更加自主可控、安全可靠的韧性软件供应链，欢迎来询~