互联网时代变化迅速，企业也需要随之而动，为了应对快速变化的业务需求，各种第三方开源、商业SDK、开发框架等被广为使用。

在传统的供应链安全体系中，企业不仅仅考虑产品自身的安全性，还会考虑供应链中每个关键环节的安全，如供应商提供的零件是否安全，产品出厂后会不会被攻击者恶意篡改等。移动应用软件供应链也是如此，需要考虑应用中引入第三方组件的安全性，做好评估与审计，同时考虑应用发布后的安全性。

1. 打造移动应用软件供应链全生命周期安全

对企业开发者而言，移动应用软件供应链安全需要充分考虑：在开发时引入的第三方组件安全性如何，个人隐私数据是否合规。如何保障开发完成的应用，完整的交付到用户手中不被篡改。梆梆安全在多个节点给出安全能力支持，帮助企业开发者打造软件供应链全生命周期解决方案，保障软件供应链安全。 

• 第一步：进行第三方组件管理。当获取到第三方组件之后，应该进行评估后再进行部署。梆梆安全提供安全分析能力，帮助开发者分析组件是否符合企业内部的安全规范/合规规范，同时持续监测第三方组件的维护情况，给出维护建议。
• 第二步：对应用进行安全测试。梆梆安全提供软件供应链分析能力，持续检测并列出应用中集成的组件清单，并对应用进行安全测试、行为测试，发现安全漏洞及违规行为。
• 第三步：保障应用分发安全。对于发布的应用，应该采取技术手段防止篡改行为，如恶意代码插入等情况。梆梆安全提供安全手段遏制静态篡改、动态篡改行为，保证发布应用与用户安装使用应用的一致性。梆梆安全同时提供应用渠道监测服务，监测应用分发渠道的盗版/仿冒应用情况。
• 第四步：发现运行时攻击。应用在用户手机上运行时，也可能遇到攻击事件。梆梆安全帮助开发者建立安全感知体系，发现不安全的运行环境，并感知攻击行为，对攻击行为作出阻断响应。

2. 做好软件供应链安全管理势在必行

CNCERT在《2019年开源软件风险研究报告》中明确指出：《网络安全审查办法》要求加强关键信息基础设施供应链安全。梆梆安全在第三方引入、开发测试、渠道分发、应用运行四个节点上进行安全控制，并配合安全服务为企业提供接入阶段安全测试、发布阶段安全管控、运维阶段安全监测能力，帮助企业建立软件供应链管理制度，保障软件供应链安全，避免出现各类违规行为，使得最终用户能够安心使用企业所提供的服务。

来源：freebuf.com 2020-07-17 11:24:32 by: 梆梆安全