一种软件供应链安全管理方法及系统

本发明公开了一种软件供应链安全管理方法及系统，涉及网络安全技术领域。通过软件成分分析引擎识别软件资产中的开源组件、漏洞及许可证信息，在隔离沙箱中验证漏洞可利用性并生成动态报告；基于法律知识图谱解析许可证合规性，结合漏洞验证结果生成风险处置指令并推送至DevOps平台或工单系统执行；同时通过联邦学习引擎融合多源情报，预测0day漏洞风险并关联资产推送分级提示。本发明实现了软件供应链全生命周期的动态风险管控，解决了传统治理中检测盲区、评估静态化、合规性弱等问题，显著提升供应链安全性与管理效率，适用于金融、电力等关键行业。