奇安信《軟件供應(yīng)鏈安全報(bào)告》:軟件供應(yīng)鏈安全保障應(yīng)加強(qiáng)頂層設(shè)計(jì)

2024年8月12日,奇安信集團(tuán)對(duì)外發(fā)布《2024中國(guó)軟件供應(yīng)鏈安全分析報(bào)告》(以下簡(jiǎn)稱(chēng)《報(bào)告》)。《報(bào)告》顯示,國(guó)內(nèi)企業(yè)軟件項(xiàng)目,開(kāi)源軟件使用率達(dá)100%。目前,開(kāi)源軟件漏洞指標(biāo)仍處于高位,軟件供應(yīng)鏈的安全問(wèn)題并沒(méi)有得到根本性的改善,20多年前的開(kāi)源軟件漏洞仍然存在于多個(gè)軟件項(xiàng)目中?!秷?bào)告》建議,軟件供應(yīng)鏈安全保障應(yīng)加強(qiáng)頂層設(shè)計(jì),持續(xù)推進(jìn)和落地相關(guān)保護(hù)工作。

《報(bào)告》通過(guò)對(duì)2023年國(guó)內(nèi)企業(yè)自主開(kāi)發(fā)源代碼的分析發(fā)現(xiàn),雖然整體缺陷密度達(dá)到12.76個(gè)/千行,高于以往各年,但高危缺陷的密度為0.52個(gè)/千行,比之前三年有明顯的下降;NULL引用類(lèi)缺陷的檢出率為25.7%,較往年也有較大降低。奇安信代碼安全實(shí)驗(yàn)室認(rèn)為,該趨勢(shì)的出現(xiàn),很大程度上得益于軟件開(kāi)發(fā)過(guò)程中,研發(fā)企業(yè)對(duì)重點(diǎn)缺陷逐漸重視,針對(duì)重點(diǎn)問(wèn)題的安全編碼規(guī)范進(jìn)一步普及,并且代碼審計(jì)工具的使用持續(xù)推廣。

與此同時(shí),國(guó)內(nèi)企業(yè)因使用開(kāi)源軟件而引入安全風(fēng)險(xiǎn)的狀況依然不容忽視。2023年,奇安信代碼安全實(shí)驗(yàn)室對(duì)1763個(gè)國(guó)內(nèi)企業(yè)軟件項(xiàng)目中使用開(kāi)源軟件的情況進(jìn)行分析發(fā)現(xiàn),全部使用了開(kāi)源軟件,使用率為100%,平均每個(gè)項(xiàng)目使用了166個(gè)開(kāi)源軟件,數(shù)量再創(chuàng)新高。另一方面,平均每個(gè)項(xiàng)目存在83個(gè)已知開(kāi)源軟件漏洞,含有容易利用的開(kāi)源軟件漏洞的項(xiàng)目占比為68.1%;存在已知開(kāi)源軟件漏洞、高危漏洞、超危漏洞的項(xiàng)目占比分別為88.0%、81.0%和71.9%,與去年相比均有所下降。其他如古老開(kāi)源軟件漏洞、老舊開(kāi)源軟件版本使用等方面的狀況基本與之前歷年持平。由此可見(jiàn),國(guó)內(nèi)企業(yè)使用開(kāi)源軟件的安全狀況雖有所好轉(zhuǎn),但風(fēng)險(xiǎn)依然處于高位。

《報(bào)告》認(rèn)為,雖然從趨勢(shì)來(lái)看,上述的軟件供應(yīng)鏈安全問(wèn)題有一定程度的緩解,但另一方面,這些指標(biāo)數(shù)據(jù)仍處于高位,軟件供應(yīng)鏈的安全問(wèn)題并沒(méi)有得到根本性的改變。值得高興的是,越來(lái)越多的機(jī)構(gòu)和企業(yè)開(kāi)始關(guān)注并實(shí)施軟件供應(yīng)鏈的安全,一些機(jī)構(gòu)和企業(yè)基于規(guī)范的流程和實(shí)踐,落地了相應(yīng)的解決方案和檢測(cè)平臺(tái)。但就目前的形勢(shì)而言,這些經(jīng)驗(yàn)、方法和工具還需要進(jìn)一步的持續(xù)完善、推廣和應(yīng)用。

《報(bào)告》尤其提出了加強(qiáng)軟件供應(yīng)鏈安全頂層設(shè)計(jì)的必要性和緊迫性?!秷?bào)告》指出,歐美國(guó)家高度重視軟件供應(yīng)鏈安全保障,在前兩年密集完成了一系列政策、框架、指南、最佳實(shí)踐等的制定和修訂后,轉(zhuǎn)入了基于這些文件的監(jiān)管執(zhí)行階段,例如根據(jù)美國(guó)OMB備忘錄M-22-18、M-23-16的要求和SSDF 1.1框架,CISA于2024年3月發(fā)布了《安全軟件開(kāi)發(fā)證明表格》,美聯(lián)邦政府的軟件生產(chǎn)供應(yīng)商需基于該表格證明自己實(shí)施特定安全實(shí)踐的情況;同時(shí),CISA還建立了軟件證明和工件存儲(chǔ)庫(kù),以促使美聯(lián)邦政府的軟件生產(chǎn)供應(yīng)商上傳軟件證明表格和相關(guān)工件,其中也包括“關(guān)鍵軟件”。

國(guó)內(nèi)在軟件供應(yīng)鏈安全保護(hù)方面的工作也在扎實(shí)推進(jìn)中,一是頂層規(guī)范不斷完善,國(guó)家標(biāo)準(zhǔn)中《軟件供應(yīng)鏈安全要求》和《軟件產(chǎn)品開(kāi)源代碼安全評(píng)價(jià)方法》已發(fā)布,《軟件物料清單數(shù)據(jù)格式》也已完成公開(kāi)征求意見(jiàn);二是行業(yè)建設(shè)如火如荼,多個(gè)行業(yè)的機(jī)構(gòu)開(kāi)展了面向軟件供應(yīng)鏈安全、開(kāi)源軟件治理、軟件物料清單(SBOM)生成和應(yīng)用等方面的能力建設(shè)、能力評(píng)估、工具評(píng)價(jià)等工作;三是解決方案持續(xù)落地,國(guó)內(nèi)一些頭部網(wǎng)絡(luò)安全公司和大型企業(yè)組織陸續(xù)推出或落地了較為全面的軟件供應(yīng)鏈安全解決方案,并在持續(xù)的完善。

然而,目前國(guó)內(nèi)仍然缺少軟件供應(yīng)鏈安全管理領(lǐng)域權(quán)威的實(shí)施指南。因此,應(yīng)加強(qiáng)軟件供應(yīng)鏈安全保障的頂層設(shè)計(jì),建立健全軟件供應(yīng)鏈安全的指導(dǎo)監(jiān)督機(jī)制和基礎(chǔ)服務(wù)設(shè)施,并盡量覆蓋所有類(lèi)型的軟件生產(chǎn)和供應(yīng)商。為此,《報(bào)告》提出了三方面建議,一是建立國(guó)家層面統(tǒng)一的軟件供應(yīng)鏈安全保護(hù)基礎(chǔ)設(shè)施;二是完善國(guó)家和行業(yè)級(jí)的軟件供應(yīng)鏈安全測(cè)評(píng)認(rèn)證體系;三是健全關(guān)基軟件供應(yīng)商安全實(shí)踐證明材料的備案機(jī)制。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )