1、软件供应链定义

需方和供方基于供应关系，开展并完成软件采购、开发、交付、获取、运维和废止等供应活动而形成的网链结构。

注：

供方1：创造软件产品的组织或个人（开发商、集成商/上游）

供方2：提供软件产品或服务的组织或个人（主要是代理商、服务商等/中游）

需方：从其他组织获取软件产品或服务的购买者和使用者（下游）

2、软件供应链模型图

软件供应链是一种由供应关系、供应活动构成的网链结构。软件供应链至少包含一层供应关系，一种实体可以有多种角色。

下面我们可以来看一下软件供应链模型示意图：

来源：国标-软件供应链安全要求

以软件采购为例，当需方直接从软件开发厂商采购软件时，供应链中包含开发商（供方）和采购商（需方）两种实体角色，此时软件供应链仅包含一层供应关系；

当需方采购定制研发软件产品时，定制过程中需外包或采购部分功能模块，此时软件供应链可能存在多层供应关系，外包方（供方）和定制开发方（需方）、定制开发方（供方）和软件采购方（需方），定制开发方具备了供方和需方两种角色；

软件供应链中最细粒度的供应关系仅包含一层供应关系。

3、软件供应链实体角色

软件供应链主要相关实体角色是供方和需方。

在特定条件下，第三方机构将参与供方和需方的相关活动。其中，第三方机构在软件供应链中主要根据供需双方的安全要求开展软件供应链安全检测、评估、咨询等服务，在此过程中第三方机构作为服务提供方属于供方角色范畴。

开源网安·网安云 就属于软件供应链中的第三方机构，可承接软件供应链相关检测、评估和咨询业务。

以下是软件供应链中供方、需方和第三方机构间的关系图：