分享软件供应链安全的重要性

在数字中国建设的大背景下，数字技术广泛应用。各种软件、系统、APP、小程序开发上线。

常规外包软件开发，为了降低成本。通常用模板嵌套，脚本语音开，或者直接SAAS模式，上线可以打开用即可。常规一些现象级问题都甩锅了，例如：

1、图片加载慢：解释为网络问题

2、系统打开慢、卡顿：解释为电脑配置低，服务器配置低

3、兼容问题：解释为浏览器版本低，只支持特定浏览器

等等。。。

而在开发过程中层层复用和嵌套封装的代码组件，有效支撑和推动了数字业务建设，但也让软件供应链环节更加复杂，安全隐患日趋凸显，这类问题更容易忽略。

常见安全问题

不同用途的系统，会面临不同的安全威胁。抛开日常听到的木马，计算机病毒等，以下仅列举部分常见威胁。

1、用户数据被盗、被改

2、窃听、偷拍、追踪

3、敏感功能滥用：静默安装App、启动任意App私有组件等

4、设备损坏：拒绝服务、手机无法开机等

5、业务数据无法调取

6、系统卡顿

7、用户数据无法汇总，特别是财务数据

8、关键数据丢失

等等。。。

软件安全知识体系

1、软件漏洞

漏洞原理与案例

漏洞挖掘与利用

漏洞检测与防范：安全编码

2、恶意代码

恶意代码的机理：传统病毒、宏病毒、木马

恶意代码的检测：检测、消除、预防、免疫、数据备份及恢复、防范策略

3、软件保护

软件分析(破解)：静态分析和动态分析

软件保护（反破解）：防逆向分析、防动态调试、运行环境检测、反杀箱、数据校验、代码混淆技术、软件水印