2024年8月12日,奇安信集团对外发布《2024中国软件供应链安全分析报告》(以下简称《报告》)。《报告》显示,国内企业软件项目,开源软件使用率达100%。目前,存在已知开源软件漏洞、高危漏洞、超危漏洞的项目占比分别为88.0%、81.0%和71.9%,各项开源软件漏洞指标仍处于高位。同时,20多年前的开源软件漏洞仍然存在于多个软件项目中,软件供应链的安全问题并没有得到根本性的改善。
奇安信代码安全实验室通过数据分析发现,与历年相比,2023年国内企业自主开发软件的源代码高危缺陷密度有所下降,并且因使用开源软件而引入安全风险的状况有一定改善。尽管如此,相关漏洞指标仍处于高位,软件供应链安全风险的管控亟待进一步加强。
《报告》通过对2023年国内企业自主开发源代码的分析发现,虽然整体缺陷密度达到12.76个/千行,高于以往各年,但高危缺陷的密度为0.52个/千行,比之前三年有明显的下降;NULL引用类缺陷的检出率为25.7%,较往年也有较大降低。奇安信代码安全实验室认为,该趋势的出现,很大程度上得益于软件开发过程中,研发企业对重点缺陷逐渐重视,针对重点问题的安全编码规范进一步普及,并且代码审计工具的使用持续推广。
与此同时,国内企业因使用开源软件而引入安全风险的状况依然不容忽视。2023年,奇安信代码安全实验室对1763个国内企业软件项目中使用开源软件的情况进行分析发现,全部使用了开源软件,使用率为100%,平均每个项目使用了166个开源软件,数量再创新高。另一方面,平均每个项目存在83个已知开源软件漏洞,含有容易利用的开源软件漏洞的项目占比为68.1%;存在已知开源软件漏洞、高危漏洞、超危漏洞的项目占比分别为88.0%、81.0%和71.9%,与去年相比均有所下降。
其他方面,如古老开源软件漏洞、老旧开源软件版本使用等方面的状况基本与之前历年持平。由此可见,国内企业使用开源软件的安全状况虽有所好转,但风险依然处于高位。
正所谓“道高一尺魔高一丈”,在过去一年中,软件供应链安全攻击事件没有丝毫减少的趋势,攻击手段依然花样百出。例如2023年9月,某黑客组织都在使用域名仿冒和星标劫持技术向开源包管理器PyPi植入一系列恶意包,并引诱开发人员使用,攻击者可以攻陷平台用户设备,窃取金融和个人信息、登录凭据等敏感数据,可能影响数百万人。2024年7月初,一家网络安全公司发现OpenSSH服务器进程存在“regreSSHion”漏洞,攻击者可利用漏洞实施系统完全接管、恶意程序安装和后门创建等攻击行为,严重程度堪比Log4Shell。
《报告》指出,虽然从趋势来看,上述的软件供应链安全问题有一定程度的缓解,但另一方面,这些指标数据仍处于高位,软件供应链的安全问题并没有得到根本性的改变。值得高兴的是,越来越多的机构和企业开始关注并实施软件供应链的安全,一些机构和企业基于规范的流程和实践,落地了相应的解决方案和检测平台。但就目前的形势而言,这些经验、方法和工具还需要进一步的持续完善、推广和应用。
《报告》建议,软件供应链安全保障亟待加强顶层设计,其中包括建立国家层面统一的软件供应链安全保护基础设施;完善国家和行业级的软件供应链安全测评认证体系;健全关基软件供应商安全实践证明材料的备案机制等。
