2023年2月16日，首届ICT软件供应链安全治理论坛暨信息通信软件供应链安全社区第二届成员大会在北京成功举办，多位业界顶级专家与工业和信息化部网络安全管理局相关领导出席，为现场观众分享了关于软件供应链可持续性与安全治理行业的前瞻与思考。

会议期间，墨菲安全自主研发的软件供应链安全管理平台荣膺自主研发创新成果奖。会议下午，墨菲安全协助中国移动举办分会场论坛《推进标准体系建设与评估 保证软件供应链安全可信》。

当日下午分会场，墨菲安全协助中国移动举办分会场论坛《推进标准体系建设与评估 保证软件供应链安全可信》，墨菲安全联合创始人兼实验室负责人欧阳强斌带来分享《软件供应链漏洞及投毒情报在合规场景中的应用》。分享基于 《信息安全技术软件供应链安全要求》国家标准（已于2022年发布征求意见稿），深度剖析了漏洞利用与软件后门植入风险，以及如何通过情报提高风险应对能力，帮助企业满足合规要求。

《信息安全技术软件供应链安全要求》可能成为未来软件供应链安全合规的基本要求，其中提到了10类风险，漏洞利用和软件后门植入是重点关注的风险。

1、从软件供应链的角度来看，依赖的开源组件、部署的开源应用以及使用的商业软件是三类典型的漏洞利用风险引入场景。

2、在标准中针对软件后门植入的风险又细分为供方预留的后门以及攻击者恶意植入的场景，从历史案例来看，软件产品后门以及在通信行业中大量涉及到的路由器、防火墙等网络设备存在较大的后门隐患；在攻击者恶意植入后门的场景中，还存在着2022年NPM中存在着faker.js和node-ipc这样典型的热门组件开发者化身攻击者在代码中加入恶意逻辑的事件。

针对这样的风险，通过以漏洞情报、投毒情报为代表的情报数据，能够帮助企业实现三类种典型控制能力：

1、引入前的准入与卡位

2、引入中的检测与修复

3、引入后的风险监测与处置

在当前漏洞和投毒情报的构建还面临许多挑战，如公开漏洞库的数据不全、质量不高，投毒情报没有公开数据。墨菲安全在持续建设漏洞和投毒的情报能力，通过自建漏洞库、投毒情报挖掘能力，提供有效的情报能够帮助企业实现风险的事前排查和持续监测，提升安全工程师运营处置效率，实现软件供应链安全合规治理。

同时协助电信分论坛《打造供应链评估体系  应对安全威胁挑战》，产品负责人车志远带来分享《覆盖全文件对象的高精检测及自动修复的软件供应链安全技术》。

分享围绕企业依据 SBOM 进行软件供应链安全风险治理时，依赖的全文件类型对象的覆盖能力、高精度的检测能力、自动修复等关键技术能力，为企业在风险治理的落地上提供建设思路。

1、全文件类型对象的覆盖能力，主要解决复杂供应链软件类型场景下的检测问题：重点介绍了源代码、二进制文件SBOM分析的难点和技术方案，及其应用场景。

2、高精度的检测能力，主要解决风险检测出现的漏报、误报问题：重点介绍精准漏洞知识库的建设难点和实现方案，以及对于漏洞真实风险评估（漏洞可达性）的技术方案和其业务场景。

3、自动修复能力，主要解决风险修复成本高的问题：重点围绕版本升级兼容性分析、代码补丁生成以及二进制文件漏洞修复这三个实践落地中常见的处置场景，分别介绍了实现难点和技术方案，以及对应的应用场景。

会议全程期间，墨菲安全展区随时为各位参会者准备了相关资料以及电子版各行业完整资料包，为大家提出的疑问进行介绍和讲解。

未来，社区将在指导单位的关心和支持下、在社区会员的共同努力下继续蓬勃发展，继续将努力为软件供应链安全治理贡献自己的一份力量。