“测试发现,国内企业软件项目100%使用开源软件;超过80%的软件项目存在已知的高危开源软件漏洞;平均每个软件项目有66个已知开源软件漏洞。”63月2日,奇安信集团在北京正式发布《2021中国软件供应链安全分析报告》(以下简称报告),首次进行了深入细致的国内软件供应链各环节安全风险研究解读。报告认为,随着软件产业的快速发展,软件供应链变得更加复杂多样,复杂的软件供应链会引入一系列安全问题,使得信息系统的整体安全防护越来越受到重视。难的。图:奇安信集团代码安全事业部总经理、代码安全实验室主任黄永刚“吃不好的食物会生病,用不好的软件会被攻击。”安全实验室主任黄永刚举了一个生动的例子。”以牛奶为例,从奶农、奶站到车间,各个环节都可能造成原料污染,引发食品安全问题。同样,软件供应链也可以分为开发、交付、运营三大环节.每一个环节都可能引入供应链安全风险并受到攻击,上游环节的安全问题会传导至下游环节并被放大。每1000行代码就有10个以上的安全缺陷。源代码是软件的原始形态,位于链条的软件供应链源头。源代码安全是软件供应链安全的基础,其位置非常关键,报告显示,2020年全年,奇安信代码安全实验室对国内企业自主研发的2001个软件项目源代码进行了安全缺陷检测,缺陷数量为361812个,整体缺陷密度为10.11千行,高危缺陷密度为1.08千行,开源软件安全漏洞更加密集,2020年全年,“千芯开源项目检查计划”对1364个开源软件进行了安全检查源软件项目,总代码量124296804行,共发现安全缺陷1859129个,其中高危缺陷117738个。2020年检测到的1364个开源软件项目总体缺陷密度为14.96‰,高危缺陷密度为0.95‰。80%以上的项目存在高危开源软件漏洞,与企业自己编写的源代码相同,开源软件也位于软件供应链的源头。据国际知名咨询机构Gartner称,大多数现代软件都是“组装”的,而不是“开发的”。在奇安信代码安全实验室分析的2557个国内企业软件项目中,无一例外全部使用了开源软件。在2557个国内企业软件项目中共检测到168604个已知开源软件漏洞(涉及4166个唯一CVE漏洞编号)。平均每个软件项目有66个已知的开源软件漏洞,最大的软件项目有1,200个已知漏洞。已知的开源软件漏洞。其中,已知开源软件漏洞的项目有2280个,占比89.2%;已知高危开源软件漏洞项目2062个,占比80.6%;项目具有已知的超关键开源软件漏洞。1802人,占70.5%。影响最大的开源软件漏洞是SpringFramework安全漏洞(漏洞编号为CVE-2020-5421),影响了44.3%的软件项目。值得注意的是,在所有已知开源软件漏洞的项目中,仍有部分软件项目存在多年前已被披露和修复的老漏洞。最早的漏洞是CVE-2005-3510,于2005年11月披露,目前仍然存在于31个项目中。与此同时,开源软件中的漏洞数量仍在上升。据奇安信代码安全实验室监测统计,截至2020年底,CVE/NVD、CNNVD、CNVD等公开漏洞库共收录开源软件相关漏洞41342个,其中新增漏洞5366个2020年的漏洞。三级提案有助于构建健康的供应链安全生态系统。报告认为,软件供应链已成为网络空间攻防对抗的焦点,直接影响关键基础设施和重要信息系统的安全。但是,目前我国在软件供应链安全方面的基础比较薄弱,迫切需要从国家、行业、组织等各个层面建立软件供应链安全风险发现能力、分析能力、处置能力和防护能力和企业,从而改善整体软件供应链。链安全管理水平。对此,奇安信代码安全实验室建议,在国家和行业监管层面,制定与软件供应链安全相关的政策要求、标准和实施指南,建立国家/行业级软件供应链安全风险分析平台应该成立。并将软件供应链安全相关工作纳入产品评估和系统评估工作。在最终用户层面,首先要明确本单位内部软件供应链安全管理的目标和工作流程;采购商业软件时,应充分评估供应商的安全能力,要求供应商提供其软件产品所使用的第三方信息。组件/开源组件列表。一旦这些第三方组件/开源组件存在安全漏洞,需要供应商提供必要的技术支持;在软件开发中,必须严格遵循软件安全开发生命周期管理流程。在软件厂商层面,要提高安全责任意识,建立清晰的软件供应链安全策略,严格控制上下游,不断降低自研代码和开源软件带来的安全风险,建立完善的产品漏洞响应机制。必要时为客户提供相应的技术支持。
