信息系统软件供应链安全，是数字政府建设的“底座工程”。近年来，扬州市通过制度先行、源头管控、闭环管理，构建“可查、可控、可追溯”的软件供应链安全体系，推动网络和数据安全工作由“事后补救”向“事前防控”跃迁，先后完成32个重点系统供应链专项检测，相关做法荣获2025年度“全省网信工作特色案例”。

制度先行，率先构建治理框架。2025年，扬州印发《政务信息系统软件供应链安全检测实施办法（试行）》，将供应链安全检测上升为制度性安排。明确新建系统“上线必检”、已建系统2年内全覆盖检测，软件供应链安全检测已从可选项转变为政务系统建设与验收的硬指标，从制度上倒逼责任落实，形成“无检测、不验收”的管理闭环。

关口前移，源头筑牢安全防线。严把采购准入关，要求各单位在采购合同或协议中，明确安全责任与安全条款，优先选用具备安全资质、能够提供软件供应链清单的供应商，将供应商安全能力作为采购评审的重要参考，从源头压减供应链风险敞口。建立政务信息系统软件供应链清单管理制度，对新建、已建的信息系统，要求全面梳理第三方组件及其版本信息等，建立供应链“户口本”，实现资产清单化、安全可追溯。

多方协同，压实漏洞整改责任。建立网信、数据、公安等部门联合监测预警与工作督导机制，形成“部门自查+专业机构核查+大数据中心督导”的三级检测体系，由大数据管理中心第一时间发布开源组件安全预警和漏洞情报，通知各部门自检，对于开源组件漏洞和风险，明确责任人和修复时限，及时采取修复、加固、升级或替换等防护措施。同时，建立漏洞清单，定期对已发现的漏洞风险进行“回头看”，防止“旧病复发”。