2024年8月12日,奇安信集團對外發(fā)布《2024中國軟件供應(yīng)鏈安全分析報告》(以下簡稱《報告》)。《報告》顯示,國內(nèi)企業(yè)軟件項目,開源軟件使用率達100%。目前,開源軟件漏洞指標仍處于高位,軟件供應(yīng)鏈的安全問題并沒有得到根本性的改善,20多年前的開源軟件漏洞仍然存在于多個軟件項目中。《報告》建議,軟件供應(yīng)鏈安全保障應(yīng)加強頂層設(shè)計,持續(xù)推進和落地相關(guān)保護工作。
《報告》通過對2023年國內(nèi)企業(yè)自主開發(fā)源代碼的分析發(fā)現(xiàn),雖然整體缺陷密度達到12.76個/千行,高于以往各年,但高危缺陷的密度為0.52個/千行,比之前三年有明顯的下降;NULL引用類缺陷的檢出率為25.7%,較往年也有較大降低。奇安信代碼安全實驗室認為,該趨勢的出現(xiàn),很大程度上得益于軟件開發(fā)過程中,研發(fā)企業(yè)對重點缺陷逐漸重視,針對重點問題的安全編碼規(guī)范進一步普及,并且代碼審計工具的使用持續(xù)推廣。
與此同時,國內(nèi)企業(yè)因使用開源軟件而引入安全風(fēng)險的狀況依然不容忽視。2023年,奇安信代碼安全實驗室對1763個國內(nèi)企業(yè)軟件項目中使用開源軟件的情況進行分析發(fā)現(xiàn),全部使用了開源軟件,使用率為100%,平均每個項目使用了166個開源軟件,數(shù)量再創(chuàng)新高。另一方面,平均每個項目存在83個已知開源軟件漏洞,含有容易利用的開源軟件漏洞的項目占比為68.1%;存在已知開源軟件漏洞、高危漏洞、超危漏洞的項目占比分別為88.0%、81.0%和71.9%,與去年相比均有所下降。其他如古老開源軟件漏洞、老舊開源軟件版本使用等方面的狀況基本與之前歷年持平。由此可見,國內(nèi)企業(yè)使用開源軟件的安全狀況雖有所好轉(zhuǎn),但風(fēng)險依然處于高位。
《報告》認為,雖然從趨勢來看,上述的軟件供應(yīng)鏈安全問題有一定程度的緩解,但另一方面,這些指標數(shù)據(jù)仍處于高位,軟件供應(yīng)鏈的安全問題并沒有得到根本性的改變。值得高興的是,越來越多的機構(gòu)和企業(yè)開始關(guān)注并實施軟件供應(yīng)鏈的安全,一些機構(gòu)和企業(yè)基于規(guī)范的流程和實踐,落地了相應(yīng)的解決方案和檢測平臺。但就目前的形勢而言,這些經(jīng)驗、方法和工具還需要進一步的持續(xù)完善、推廣和應(yīng)用。
《報告》尤其提出了加強軟件供應(yīng)鏈安全頂層設(shè)計的必要性和緊迫性?!秷蟾妗分赋觯瑲W美國家高度重視軟件供應(yīng)鏈安全保障,在前兩年密集完成了一系列政策、框架、指南、最佳實踐等的制定和修訂后,轉(zhuǎn)入了基于這些文件的監(jiān)管執(zhí)行階段,例如根據(jù)美國OMB備忘錄M-22-18、M-23-16的要求和SSDF 1.1框架,CISA于2024年3月發(fā)布了《安全軟件開發(fā)證明表格》,美聯(lián)邦政府的軟件生產(chǎn)供應(yīng)商需基于該表格證明自己實施特定安全實踐的情況;同時,CISA還建立了軟件證明和工件存儲庫,以促使美聯(lián)邦政府的軟件生產(chǎn)供應(yīng)商上傳軟件證明表格和相關(guān)工件,其中也包括“關(guān)鍵軟件”。
國內(nèi)在軟件供應(yīng)鏈安全保護方面的工作也在扎實推進中,一是頂層規(guī)范不斷完善,國家標準中《軟件供應(yīng)鏈安全要求》和《軟件產(chǎn)品開源代碼安全評價方法》已發(fā)布,《軟件物料清單數(shù)據(jù)格式》也已完成公開征求意見;二是行業(yè)建設(shè)如火如荼,多個行業(yè)的機構(gòu)開展了面向軟件供應(yīng)鏈安全、開源軟件治理、軟件物料清單(SBOM)生成和應(yīng)用等方面的能力建設(shè)、能力評估、工具評價等工作;三是解決方案持續(xù)落地,國內(nèi)一些頭部網(wǎng)絡(luò)安全公司和大型企業(yè)組織陸續(xù)推出或落地了較為全面的軟件供應(yīng)鏈安全解決方案,并在持續(xù)的完善。
然而,目前國內(nèi)仍然缺少軟件供應(yīng)鏈安全管理領(lǐng)域權(quán)威的實施指南。因此,應(yīng)加強軟件供應(yīng)鏈安全保障的頂層設(shè)計,建立健全軟件供應(yīng)鏈安全的指導(dǎo)監(jiān)督機制和基礎(chǔ)服務(wù)設(shè)施,并盡量覆蓋所有類型的軟件生產(chǎn)和供應(yīng)商。為此,《報告》提出了三方面建議,一是建立國家層面統(tǒng)一的軟件供應(yīng)鏈安全保護基礎(chǔ)設(shè)施;二是完善國家和行業(yè)級的軟件供應(yīng)鏈安全測評認證體系;三是健全關(guān)基軟件供應(yīng)商安全實踐證明材料的備案機制。
(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )