企業動態

2020年12月13日，全球最著名的網管軟件供應商SolarWinds遭遇高度複雜的供應鏈攻擊，包括美國關鍵基礎設施、軍隊、政府在內的18000+企業客户，可任由攻擊者完全操控，這件事再度敲響了軟件供應鏈安全的警鐘。

“‘企業自主開發代碼缺陷密度達10.13個/千行’、‘開源項目源代碼缺陷密度達14.22個/千行’、‘存在開源軟件漏洞的項目佔比達77.5%’……這一個個數據的背後，無不透露出軟件供應鏈存在着巨大的安全隱患。”

在5月20日舉辦的2021 IT市場年會網絡安全高峯論壇上，奇安信集團代碼安全事業部總經理黃永剛分享了軟件供應鏈安全的現狀。

軟件供應鏈面臨巨大安全危機

據黃永剛介紹，從2015年開始，奇安信代碼安全實驗室依託代碼衞士和開源衞士領先的源代碼的檢測能力，針對企業自主開發代碼、開源軟件源代碼、多款應用廣泛的商業軟件等，發起了多項安全檢測計劃，全面展示了軟件供應鏈安全的全貌。

截至目前，奇安信代碼衞士檢測了近2000個企業級軟件開發項目、3億+行源代碼，共發現跨站腳本XSS、SQL注入等各類安全缺陷3374688個，整體缺陷密度達到10.13個/千行。其中高危安全缺陷360921個，整體高危缺陷密度達到1.08個/千行。

開源軟件的源代碼缺陷則更加密集。據“奇安信開源項目檢測計劃”的檢測結果顯示，開軟項目的缺陷密度達到了14.22個/千行，其中高危缺陷密度則為0.72個/千行。眾所周知，開源軟件是軟件開發最基礎的原材料，位於軟件供應鏈的源頭，且應用及其廣泛。其自身的安全狀況，直接影響最終軟件的安全性。

近8成軟件項目引入了開源軟件漏洞

奇安信開源衞士針對2188個企業軟件項目的檢測結果顯示，所有軟件項目均使用了開源軟件，平均每個項目使用開源軟件數量達135個；其中被使用最多的開源軟件出現在了581個項目中，滲透率達到了26.6%。

在所有被檢測的項目中，奇安信開源衞士共檢出開源漏洞114862個，平均每個項目存在52.5個開源軟件漏洞。其中，存在開源軟件漏洞的項目1695個，佔比77.5%；存在高危開源軟件漏洞的項目1559個，佔比71.3%；存在超危開源軟件漏洞的項目1319個，佔比60.3%。

值得關注的是，影響面最大的開源軟件漏洞（Spring FrameWork漏洞）出現在973個項目中，滲透率高達44.5%。這也就是説，一旦該漏洞被攻擊者利用，將影響近半數的企業軟件，波及的企業數量更加不計其數。

與此同時，攝像頭、路由器等智能聯網設備也未能倖免。2019年初，奇安信發起了固件安全檢測計劃，針對聯網設備固件中引用的開源軟件及其漏洞進行分析。

據奇安信固件衞士的檢測結果顯示，86.4%的設備的最新固件存在至少一個老舊開源軟件漏洞，漏洞最多的固件存在74個老舊開源軟件漏洞。更有甚者，2014年曝出的“心臟滴血”漏洞，仍然存在於5.3%的最新設備中。

供應鏈安全應成為數字化的底板

面對上述嚴峻的挑戰，黃永剛強調，在當前軟件供應鏈安全基礎較薄弱的形勢下，軟件供應鏈安全應成為信息系統安全的底板工程，亟需建立安全與軟件供應鏈全生命週期深度融合、全面覆蓋的安全體系，來保障軟件從開發、交付到運行的全過程、全生命週期安全。

其中，針對軟件成分及其風險的分析，是軟件供應鏈安全的基礎和關鍵部分，建議作為軟件供應鏈安全工作開展的首要事。用户在採購商業貨架軟件、自行開發軟件系統或委託第三方定製開發軟件系統時，應對軟件源代碼、二進制代碼中所包含的開源軟件成分及其安全風險進行充分的瞭解，形成開源軟件成分清單，並持續跟蹤這些開源軟件的安全風險情報。

對此，奇安信依託代碼衞士、開源衞士以及固件衞士三大代碼安全產品，可以針對軟件源代碼、二進制代碼、安裝包、安裝目錄、運行態程序、固件、容器鏡像等軟件全生命期、各種形態的軟件進行供應鏈安全檢測和分析，幫助客户儘早發現和規避軟件供應鏈安全風險，為數字化轉型保駕護航。