《网络安全产业高质量发展三年行动计划（2021-2023年）》、《“十四五”软件和信息技术服务业发展规划》中提出提升关键软件供给能力，加快发展源代码分析、组件成分分析等软件供应链安全工具，提升网络安全产品安全开发水平。开展软件供应链安全治理可以帮助企业评估和改进软件供应链安全计划，明确安全能力提升方向，从软件供应链安全保障维度和供应链生命周期安全管控维度提升企业软件供应链安全方面的治理能力。

保护软件从开发到部署运营的全生命周期的安全，因供应商自身缺乏安全能力，网络安全运营和应急响应能力不足，对使用的开源和第三方软件、组件缺乏资产清单和漏洞处置，内部人员安全意识不足导致信息泄漏等；在开发环节可能因供应商引入安全缺陷或后门、使用不安全开源软件、编译构建环境被污染等带来安全隐患；在交付和运行环节可能存在中间供应商插入恶意代码、软件更新被劫持、系统被破解等风险。

1、针对软件供应链安全治理三大要素开展治理活动，包括网络治理机制体制建立、软件生存周期管理、开源软件治理、软件透明度治理等方面，以确保软件供应链的安全性、完整性、弹性和质量。

2、根据《软件供应链安全能力成熟度参考模型》，为企业自治、加强供应商管理提供标准依据；

3、建立《软件供应链安全能力评估评价机制》，规范评估流程和方法，为企业软件供应链安全治理体系评估评价机制建设奠定基础。