奇安信《軟件供應鏈安全報告》:軟件供應鏈安全保障應加強頂層設計

  • 人閱讀
  • 2024-08-13 19:13:02

  • 來源:華夏晚報

  • 相關關鍵詞

2024年8月12日,奇安信集團對外發(fā)布《2024中國軟件供應鏈安全分析報告》(以下簡稱《報告》)?!秷蟾妗凤@示,國內企業(yè)軟件項目,開源軟件使用率達100%。目前,開源軟件漏洞指標仍處于高位,軟件供應鏈的安全問題并沒有得到根本性的改善,20多年前的開源軟件漏洞仍然存在于多個軟件項目中?!秷蟾妗方ㄗh,軟件供應鏈安全保障應加強頂層設計,持續(xù)推進和落地相關保護工作。

《報告》通過對2023年國內企業(yè)自主開發(fā)源代碼的分析發(fā)現(xiàn),雖然整體缺陷密度達到12.76個/千行,高于以往各年,但高危缺陷的密度為0.52個/千行,比之前三年有明顯的下降;NULL引用類缺陷的檢出率為25.7%,較往年也有較大降低。奇安信代碼安全實驗室認為,該趨勢的出現(xiàn),很大程度上得益于軟件開發(fā)過程中,研發(fā)企業(yè)對重點缺陷逐漸重視,針對重點問題的安全編碼規(guī)范進一步普及,并且代碼審計工具的使用持續(xù)推廣。

與此同時,國內企業(yè)因使用開源軟件而引入安全風險的狀況依然不容忽視。2023年,奇安信代碼安全實驗室對1763個國內企業(yè)軟件項目中使用開源軟件的情況進行分析發(fā)現(xiàn),全部使用了開源軟件,使用率為100%,平均每個項目使用了166個開源軟件,數(shù)量再創(chuàng)新高。另一方面,平均每個項目存在83個已知開源軟件漏洞,含有容易利用的開源軟件漏洞的項目占比為68.1%;存在已知開源軟件漏洞、高危漏洞、超危漏洞的項目占比分別為88.0%、81.0%和71.9%,與去年相比均有所下降。其他如古老開源軟件漏洞、老舊開源軟件版本使用等方面的狀況基本與之前歷年持平。由此可見,國內企業(yè)使用開源軟件的安全狀況雖有所好轉,但風險依然處于高位。

《報告》認為,雖然從趨勢來看,上述的軟件供應鏈安全問題有一定程度的緩解,但另一方面,這些指標數(shù)據(jù)仍處于高位,軟件供應鏈的安全問題并沒有得到根本性的改變。值得高興的是,越來越多的機構和企業(yè)開始關注并實施軟件供應鏈的安全,一些機構和企業(yè)基于規(guī)范的流程和實踐,落地了相應的解決方案和檢測平臺。但就目前的形勢而言,這些經驗、方法和工具還需要進一步的持續(xù)完善、推廣和應用。

《報告》尤其提出了加強軟件供應鏈安全頂層設計的必要性和緊迫性?!秷蟾妗分赋?,歐美國家高度重視軟件供應鏈安全保障,在前兩年密集完成了一系列政策、框架、指南、最佳實踐等的制定和修訂后,轉入了基于這些文件的監(jiān)管執(zhí)行階段,例如根據(jù)美國OMB備忘錄M-22-18、M-23-16的要求和SSDF 1.1框架,CISA于2024年3月發(fā)布了《安全軟件開發(fā)證明表格》,美聯(lián)邦政府的軟件生產供應商需基于該表格證明自己實施特定安全實踐的情況;同時,CISA還建立了軟件證明和工件存儲庫,以促使美聯(lián)邦政府的軟件生產供應商上傳軟件證明表格和相關工件,其中也包括“關鍵軟件”。

國內在軟件供應鏈安全保護方面的工作也在扎實推進中,一是頂層規(guī)范不斷完善,國家標準中《軟件供應鏈安全要求》和《軟件產品開源代碼安全評價方法》已發(fā)布,《軟件物料清單數(shù)據(jù)格式》也已完成公開征求意見;二是行業(yè)建設如火如荼,多個行業(yè)的機構開展了面向軟件供應鏈安全、開源軟件治理、軟件物料清單(SBOM)生成和應用等方面的能力建設、能力評估、工具評價等工作;三是解決方案持續(xù)落地,國內一些頭部網絡安全公司和大型企業(yè)組織陸續(xù)推出或落地了較為全面的軟件供應鏈安全解決方案,并在持續(xù)的完善。

然而,目前國內仍然缺少軟件供應鏈安全管理領域權威的實施指南。因此,應加強軟件供應鏈安全保障的頂層設計,建立健全軟件供應鏈安全的指導監(jiān)督機制和基礎服務設施,并盡量覆蓋所有類型的軟件生產和供應商。為此,《報告》提出了三方面建議,一是建立國家層面統(tǒng)一的軟件供應鏈安全保護基礎設施;二是完善國家和行業(yè)級的軟件供應鏈安全測評認證體系;三是健全關基軟件供應商安全實踐證明材料的備案機制。

(免責聲明:本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網站出現(xiàn)的信息,均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時,應及時向本網站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。 )