公元1356年，朱元璋所率领的义军在打败元朝水军后，顺利攻占了集庆，也就是后来的明朝应天府（今江苏南京），从此有了一块比较稳定的根据地。

然而在看到同为元末义军代表的陈友谅、张士诚等纷纷称王时，朱元璋却采用了谋士朱升的“高筑墙、广积粮、缓称王”九字真言，最终一统华夏。

作为九字真言的第一条，“高筑墙”被朱元璋玩出了新花样。

图片来源于网络，电视剧《朱元璋》

对于修城墙这件事情，朱元璋一直非常上心。为此，他下令征集了大量所辖区域内的民工制坯烧造城砖。

那些年，朱元璋所辖的各府、州、县到处可以看到人们取土制坯的繁忙景象，还有遍布各地密集的砖窑冒着滚滚浓烟烧砖的情景。

数百万的城砖被集中运到应天府，难免不出现“以次充好”的现象。

当时强敌环伺，容不得老朱半点马虎。

所以朱元璋采纳了一个办法：

如此一来，谁负责的砖出了质量问题，从烧砖的民工到负责验收的官员，通通追责到底。

正是这样看起来十分严苛的制度，成就了南京明城墙“世界第一城墙”的美誉。沐风栉雨六百多年，仍然坚固雄伟，墙体保存十分完好。

而那些烧砖人的名字，也跟随明城墙一道，在历史的长河中留下了浓墨重彩的一笔，与日月同辉。时至今日，去南京旅游的朋友依然能在城砖上看到密密麻麻的铭文。

说起修城墙，现如今有一件事情跟它非常类似，软件开发也是堆砌一块块“墙砖”的过程：不同功能的软件模块在程序员的手中，按照一定的逻辑关系最终被组合成一款软件。

尤其是在开源软件大行其道的今天，这样的“组合式”开发过程更加受到欢迎。

一群极客将自己开发的软件模块公开在在技术社区上分享，其他人在开发软件的过程中如果需要类似的功能，便可以直接拿过来使用，“拼接”在自己要开发的软件中，就和拼积木一样。

所以与修城墙相比，软件供应链渠道更加复杂：

图：城墙供应链示意

图：软件供应链示意

一个主流的组件，被全世界上亿的用户使用也不足为奇。而每一个用户，也可能正在使用着上万个软件组件。

于是，软件供应链安全问题就产生了。工程师写的每一个漏洞时，都会随着软件供应链流入到最终用户手里。如果一个主流的软件组件出现漏洞，影响的用户数量将会十分巨大。

所以，软件供应链安全问题的危害，就是具备“攻其一点，打击一片”的特点，利用一个上游软件组件的漏洞，就可以攻破多个系统。对攻击者来说，直接在“水源”处投毒，要比进入每家每户投毒高效得多。

根据奇安信代码安全实验室的监测结果显示，2021年新增的开源软件漏洞达到6346个，典型缺陷的总体检出率为73.5%，远高于2020年的56.3%。

唯一不确定的只不过是漏洞是否已经被人发现、是不是已经被人利用了而已。

那么问题来了，如果一个软件组件被曝出有漏洞，作为最终用户怎么知道这个漏洞会不会影响到自己的IT系统呢？

需要注意的是，软件供应链安全问题之所以越来越严峻，很重要的一个原因就是用户并不了解软件的组成成分，从而无法正确了解自己使用的软件是否受到漏洞的影响。

就连手机上天天使用的各类软件，恐怕也没几个人知道这些软件的背后到底使用了哪些模块。

为了解决这个问题，六百多年前朱元璋修城墙的方法，又被拿了出来。

这个方法在这里被称为软件物料清单（SBOM）。

图：软件物料清单架构示意

而一旦有发现漏洞，用户就可以对着SBOM，看到自己是否使用了包含漏洞的组件，并找到漏洞所在组件的供应商，从而寻求消除漏洞影响的解决办法。

围绕SBOM的具体使用，奇安信代码安全实验室提出了三个层面的建议。

首先在监管层面，有关部门应牵头制定标准，要求软件供应商在交付软件系统的同时，向用户交付SBOM，同时明确SBOM中应当包含哪些信息，以保持足够的透明性。

其次在软件供应商层面，产品正式发布时，应提取和生成产品的软件物料清单(SBOM)，并随软件向客户提供。同时持续监测相关安全漏洞等风险情况，并及时为客户提供相应的技术支持服务。

最后在用户层面，在购买软件产品或委托定制开发软件系统时，应要求供应商提供SBOM，并使用合适的检测工具（如奇安信开源卫士）验证SBOM中所提供的数据是否正确，一旦发现安全风险，应基于SBOM和风险信息，及时采取安全措施，消除相关安全风险。

当然，想要全面消除软件供应链所带来的网络安全隐患，单靠一个SBOM还是远远不够的。

从这个角度上来说，六百多年前的朱元璋，算是玩明白了。