软件供应链，即在办公或生产中使用的非自研软件或系统，其安全一直以来都被很多企业所忽视。安全概念中的重点之一就是安全需要贯穿在整个软件开发的过程当中，而非仅仅在完成软件之后作为一种保护手段被加上。尤其在如今的开发过程中，开发者大量运用非自身生产的代码，而是通过各类其他开发者提供的库，工具等进行开发。因此，软件供应链一旦出现安全问题，这个隐患将延续整个开发周期。

期望于增加行业内对软件供应链的重视，阿里巴巴与InforSec合作，开展了一次针对软件供应链的技术研讨会。与会者包括腾讯、知道创宇、华为、360等知名公司以及来自清华、中科院等研究学者。阿里巴巴的资深安全专家杭特进行了主要演讲。

杭特指出，公司日常使用的非自产办公软件、shell工具、开发工具箱、第三方库以及系统库都是软件供应链的一环，而这些第三方的代码一旦包含恶意代码，将会给企业带来严重损失。即使是来自官方的资源以及更新，可能依然存在隐患。仅在2017年，Xshell以及CCleaner的官方软件被植入恶意功能给大量公司带来了巨大经济损失。

杭特同时提到，针对软件供应链的攻击有着低投入、难检测以及高影响的特点。攻击者甚至不需要有大量的渗透攻击经验即可完成攻击。通过业界最近的一次实验表明，攻击者只要将带有恶意代码的文件上传到更新源，同时将文件名修改成近似真实文件的名称，就会有大量开发者错误地将该文件更新到自己的本地。而由于大部分开发者都不会仔细检查更新的文件，从而造成带有恶意代码的文件很难被发现。最后，因为大量软件会应用到相关的代码，恶意代码会被大量传播造成影响。

尽管国外已经对软供应链开始制定规范，比如NIST.SP800-161以及VET（Vetting Commodity IT Software and Firmware），但国内对这一块依然缺乏相对应的措施。借此，阿里巴巴将举办一次软件供应链的安全竞赛，奖金总额将高达150万元。比赛参赛者将可以以“出题者”以及“答题者”任意一种形式参加比赛。阿里巴巴希望出题者不只是提出难度高的题目，更希望出题者有各种新奇的思路来表现现实中可能出现的各种安全状况。因此，能给出有创造性同时又符合实际生活的题目也同样能获得奖金。而答题者需要具备自动化解答出题者题目的能力。

杭特指出，国内现有的信息安全比赛都针对“高能力，固定目标”或者“低能力，变化目标”。而为了应对软件供应链安全，需要的是“高能力，变化目标”的人才。而阿里巴巴此次举办的软件供应链大赛，正是为了帮助整个行业沉淀、挖掘此类人才，也是希望让整个互联网行业对软件供应链安全引起足够的重视，相互交流，一起协力创造一个和谐的信息工作/开发环境。

作者：星云