文/中国建设银行金融科技部 陈德锋

中国建设银行金融软件供应链安全治理工程，首创了软件安全基因技术，利用工程化方法和工具将安全基因贯穿于软件供应链生命周期的各个阶段，实现了威胁情报的自动化排查和漏洞实时定位，有效降低了金融应用安全风险，在关键网络和数据安全保护方面发挥了重要作用。

网络安全是一条无形战线，2013年斯诺登披露“棱镜”计划，露出了国际网络安全威胁的冰山一角，自此以后十多年来，网络安全形势日益严峻。软件供应链攻防是目前网络安全高级对手之间最重要的阵地。分析2020年以来的国内外重大网络攻击事件，利用软件供应链攻击是首要的攻击手段，例如重创全球的太阳风攻击事件。因此，做好软件供应链安全，确保金融业务万无一失，意义重大。

中国建设银行金融软件供应链安全治理工程，解决软件供应链生命周期中，供应链软件缺少全链路有效管控、安全测试准确性和检测效率低、威胁建模智能推荐和情报漏洞排查速度慢、无法有效跟踪和追溯等行业共性难题。工程实现端到端的软件供应链安全保障，提高软件供应链的可追溯性和透明度，保障供应链安全风险可控，打造企业级软件供应链安全治理体系，全面服务于总行、分行和子公司，围绕软件供应过程核心，从软件引入到开发测试、投产运营到软件应用过程进行全流程安全风险管控。

工程核心技术思想

中国建设银行在多年网络与信息安全工作实践中提炼总结，首创了软件安全基因技术。软件安全基因包含了保护对象的软件物料信息和安全行为特征，是管理安全对象和安全能力的标准化单位。建设银行基于软件安全基因技术，结合金融工作实际，设计研发了一套金融软件供应链网络安全治理与运营体系，并进行了工程化实现。

工程采用网络安全能力成熟度模型原理，将能力成熟度映射成技术成熟度维度，形成技术方案，保障软件供应链治理工程的安全能力成熟度持续提升。在工程建设过程中，建设银行利用软件安全基因技术，构建金融软件安全基因库，全面应用于集团研发、开源管理、外部产品等综合场景，实现了软件供应链多维度追溯查询，研发安全质量测试，投毒组件和安全漏洞自动化排查、处置、跟踪、验证，以及供应链入口攻击风险预测等能力。

工程体系架构

中国建设银行金融软件供应链安全治理工程，以国家法律、监管政策和企业规范等为指导，工程涵盖“安全评估度量平台、安全测试工作台、安全运营平台”3大业务系统，“安全基因模块、知识图谱模块、人工智能模块、可信软件库、任务调度模块”五大技术模块，集成了安全基因识别与分析、代码安全扫描、代码规范扫描、开源漏洞扫描、配置安全检测、敏感信息检测、渗透测试线上化、交互式安全检测、病毒检查、App静态安全扫描、App动态安全扫描、App金融备案检测、物联安全固件检测、API检测、容器安全检测等多项安全检测工具，通过对软件供应链全流程全对象的安全风险管控，实现软件供应链安全保障，提高软件供应链可追溯性和透明度，全面服务于总行、分行和子公司的金融网络安全。

其中，技术体系部分为五个层次（如图所示），覆盖软件开发、测试、投产、运营等多个环节，实现了事前、事中及事后的完整安全治理能力。服务层支持全行金融业务；应用层打通信息壁垒，漏洞情报在运行阶段和开发测试阶段自动化高效流转，提高漏洞排查整改效率；实施管理层贯穿软件供应链全生命周期，安全治理无死角；基础服务层确保漏洞快速发现精准定位；基础数据层实现安全成分、安全行为和安全漏洞等信息标准化管理和高效流转。

图 金融软件供应链安全治理工程体系架构图

工程技术能力

1. 构建可信软件库，控制软件供应链入口并持续验证。中国建设银行在软件供应链安全治理实践中，针对供应链软件定义两个可信标签，分别为“来源”和“谱系”，其中“来源”标签包含软件监管链信息，“谱系”标签包含软件质量信息（准确性、正确性和完整性）。在此基础上，制定了可信标签标准，将满足既定标准的软件放入可信软件库，在软件供应链生命周期中实现持续验证。

2. 针对软件开发过程进行供应链安全管控。准实时威胁建模。将安全需求分析和设计内嵌入研发线上化系统，实现自动关联业务场景进行威胁建模，推荐缓解措施，并结合安全案例库推荐应用安全测试案例。以缓解措施和安全测试用例的执行结果设置研发线上化系统的安全卡点，提升开发过程的安全管控能力。

准实时缓解措施跟踪。使用IDE插件关联缓解措施，通过将插件与提交功能关联实现缓解措施的标记，为后续测试和运行阶段有效性验证提供支撑。

实时组件安全漏洞检测。采用CI/CD管道集成SDK方式，在软件开发中能够自动化发现漏洞，向研发人员提示当前工程中存在的开源组件漏洞，提供安全漏洞修复方案，实现了软件成分分析同步调用，不但做到透明检测，还摆脱了主动检测对代码编译构建配置和用户权限依赖，消除特权账户使用风险。

3. 基于安全威胁进行软件供应链风险分析，提升漏洞运营效能。网络安全已经从早期的基于合规防御发展到了基于漏洞评分的风险管理。根据这个范式，中国建设银行开启了基于真实威胁的风险管理，将高分漏洞与已有的防御措施进行映射，确定缓解措施的优先级，形成真实的网络攻击风险情报，创建情报排查任务，将威胁情报与安全基因映射，为系统管理提供代码工程级别的精细化的软件成分数据。通过IDE插件、CI/CD管道和本地SDK实现安全风险识别，快速完成排查，提升全行安全情报排查效率，实现漏洞线上自动化跟踪，自动化验证针对安全情报的项目整改进展，解决漏报误报痛点，为漏洞应对提前布防赢得时间。

4. 实现深度开源安全治理。建立全流程安全足迹跟踪机制。针对开发运营全流程安全检测动作的执行信息记录安全足迹，涵盖安全准入、开发测试和投产部署三个关键阶段，通过安全足迹分析评估安全检测的适配度和完整性，提升检测效果。

结合情报系统，建立中央源码仓开源组件防篡改监控机制，与统一依赖仓联动，供给投毒组件数据，实现阻断从公网拉取投毒组件、全局扫描排查投毒组件等功能，降低第三方投毒风险。

按照监管部门要求，建立投产版本及生产运营中黑链、暗链、明链自动检测机制，将不良互联网链接排查纳入常态化安全管控，防范舆情及安全风险。

工程实践价值

中国建设银行金融软件供应链安全治理工程竣工以来，圆满完成两会、云上峰会、亚运会、分布式核心推广等网络安全保障工作，全行网络及信息系统运行情况良好，有力保障了业务发展。在工程建设过程中，牵头编写行业标准1个，联合发布国内首个软件物料清单（SBOM）安全应用白皮书，推动了国内信息产业SBOM生态体系建设，形成社会合力，共同解决中国的软件供应链安全问题，发挥了网络安全保护示范引领作用。

结束语

中国建设银行打造了一整套的工程化方法和工具将安全基因贯穿于软件供应链生命周期的各个阶段，提供了软件供应链攻击面的可见性和控制权，覆盖全部开发流程，从规划阶段到部署到生产，监控和记录在整个开发生命周期中影响软件的所有安全操作，实现了威胁情报的自动化排查和漏洞实时定位。实际应用效果表明，相较于国内外的同类技术实践，中国建设银行的金融软件供应链安全能力达到了先进水平。

（此文刊发于《金融电子化》2025年1月下半月刊）