今年以来，全球公开披露的供应链安全已发生上百起。9 月份，一起针对欧洲航空系统供应商的网络攻击，导致多个欧洲国家机场的登机和值机系统瘫痪，航班大面积延误甚至取消。同月，一勒索组织宣称，他们从 760 家公司窃取了超过 15 亿条 Salesforce 记录，大量上市公司因此受到影响。由此可见，软件供应链已成为网络安全攻击的重要渠道，攻击遍布各行各业，供应链安全漏洞已成全球威胁。

CodeArts两大子服务：构建软件供应链安全防线

面对复杂的软件供应链安全挑战，华为云 CodeArts 通过 Check（代码检查服务）和 Governance（开源治理服务），构建了覆盖自研代码和开源代码的全方位的安全体系，为企业提供端到端的供应链防护能力。

CodeArts Governance：开源软件的全生命周期治理

华为云 CodeArts Governance 服务通过软件成分分析扫描，可快速检测项目中使用的开源软件及其版本，自动生成来源软件漏洞和许可证合规分析报告。

例如，某能源企业通过 CodeArts Governance 发现其系统依赖的第三方组件中存在 GPLv3 许可证，及时调整了开源策略以避免商业风险；同时也支持进行敏感信息泄露、安全配置合规、安全编译选项是否开启及项目是否含恶意代码等供应链安全风险检测。

CodeArts Governance 服务提供的二进制软件成分分析能力，基于特征码 / 字节码，可不依赖源码进行开源软件及版本分析。

CodeArts Check：代码安全的前置防线

代码层面的缺陷是供应链攻击的常见入口。华为云 CodeArts Check 通过 7000+ 预置代码检查规则 和 11000+ 安全场景覆盖，在代码编写阶段即进行静态分析，拦截潜在漏洞。

CodeArts Check 不仅能够检测语法错误、性能问题，还能发现如 SQL 注入、缓冲区溢出等安全漏洞。例如，某制造企业通过 Check 在代码提交阶段拦截了 300+ 处安全缺陷，将漏洞修复成本降低了 70%。

协同效应：构建 " 预防- 检测 - 响应 " 三位一体的供应链安全体系

华为云 CodeArts 子服务并非孤立运行，而是通过数据共享与流程联动实现协同防护及供应链安全检测能力左移：

预防阶段：通过 CodeArts Check 在代码编写阶段实时拦截漏洞，以及 CodeArts Governance 的源码成分分析功能，规范自研代码中开源软件的引入与使用；

检测阶段：通过 CodeArts Governance 的二进制成分分析能力，有效识别编译构建后引入的开源软件依赖；

响应阶段：通过自动化修复建议和漏洞修复流程，快速隔离威胁并更新安全策略。

以领先技术护航供应链安全

近日，Gartner 发布 2025 年《DevOps 平台魔力象限》报告，华为云凭借 CodeArts 软件开发生产线入选远见者象限，是此次进入魔力象限的亚洲唯一厂商，也意味着华为云在 DevOps 领域进入全球领先厂商行列。

未来，华为云将持续投入研发，助力企业构建更安全、更可信的软件供应链生态。