證券日?qǐng)?bào)APP

掃一掃
下載客戶端

《2021中國(guó)軟件供應(yīng)鏈安全分析報(bào)告》發(fā)布

2021-06-02 20:13  來(lái)源:證券日?qǐng)?bào)網(wǎng) 張志偉

    本報(bào)記者 張志偉

    “檢測(cè)發(fā)現(xiàn),國(guó)內(nèi)企業(yè)軟件項(xiàng)目100%使用了開(kāi)源軟件;超八成軟件項(xiàng)目存在已知高危開(kāi)源軟件漏洞;平均每個(gè)軟件項(xiàng)目存在66個(gè)已知開(kāi)源軟件漏洞。”6月2日,奇安信集團(tuán)在京正式發(fā)布《2021中國(guó)軟件供應(yīng)鏈安全分析報(bào)告》(下文簡(jiǎn)稱報(bào)告),首次對(duì)國(guó)內(nèi)軟件供應(yīng)鏈各個(gè)環(huán)節(jié)的安全風(fēng)險(xiǎn),進(jìn)行了深入細(xì)致的研究和解讀。

    報(bào)告認(rèn)為,隨著軟件產(chǎn)業(yè)的快速發(fā)展,軟件供應(yīng)鏈也越發(fā)復(fù)雜多元,復(fù)雜的軟件供應(yīng)鏈會(huì)引入一系列的安全問(wèn)題,導(dǎo)致信息系統(tǒng)的整體安全防護(hù)難度越來(lái)越大。

    “吃了不好的食品會(huì)生病,用了不好的軟件會(huì)被攻擊”,奇安信集團(tuán)代碼安全事業(yè)部總經(jīng)理、代碼安全實(shí)驗(yàn)室主任黃永剛舉了一個(gè)形象的例子。“拿牛奶來(lái)說(shuō),從奶農(nóng)、奶站到車間,各個(gè)環(huán)節(jié)都可能導(dǎo)致原材料被污染,造成食品安全問(wèn)題。同樣,軟件供應(yīng)鏈可劃分為開(kāi)發(fā)、交付、運(yùn)行三個(gè)大的環(huán)節(jié),每個(gè)環(huán)節(jié)都可能會(huì)引入供應(yīng)鏈安全風(fēng)險(xiǎn)從而遭受攻擊,上游環(huán)節(jié)的安全問(wèn)題會(huì)傳遞到下游環(huán)節(jié)并被放大。”

    源代碼是軟件的原始形態(tài),位于軟件供應(yīng)鏈的源頭。源代碼安全是軟件供應(yīng)鏈安全的基礎(chǔ),其地位非常關(guān)鍵。

    報(bào)告顯示,2020年全年,奇安信代碼安全實(shí)驗(yàn)室對(duì)2001個(gè)國(guó)內(nèi)企業(yè)自主開(kāi)發(fā)的軟件項(xiàng)目源代碼進(jìn)行了安全缺陷檢測(cè),檢測(cè)的代碼總量為335011173行,共發(fā)現(xiàn)安全缺陷3387642個(gè),其中高危缺陷361812個(gè),整體缺陷密度為10.11個(gè)/千行,高危缺陷密度為1.08個(gè)/千行。

    開(kāi)源軟件的安全缺陷則更加密集。2020年全年,“奇安信開(kāi)源項(xiàng)目檢測(cè)計(jì)劃”對(duì)1364個(gè)開(kāi)源軟件項(xiàng)目的源代碼進(jìn)行了安全檢測(cè),代碼總量為124296804行,共發(fā)現(xiàn)安全缺陷1859129個(gè),其中高危缺陷117738個(gè)。2020年檢測(cè)的1364個(gè)開(kāi)源軟件項(xiàng)目整體缺陷密度為14.96個(gè)/千行,高危缺陷密度為0.95個(gè)/千行。

    與企業(yè)自主編寫(xiě)的源代碼相同,開(kāi)源軟件同樣位于軟件供應(yīng)鏈的源頭。國(guó)際知名咨詢機(jī)構(gòu)Gartner表示,現(xiàn)代軟件大多數(shù)是被“組裝”出來(lái)的,不是被“開(kāi)發(fā)”出來(lái)的。在奇安信代碼安全實(shí)驗(yàn)室分析的2557個(gè)國(guó)內(nèi)企業(yè)軟件項(xiàng)目中,無(wú)一例外,均使用了開(kāi)源軟件。

    在2557個(gè)國(guó)內(nèi)企業(yè)軟件項(xiàng)目中,共檢出168604個(gè)已知開(kāi)源軟件漏洞(涉及4166個(gè)唯一CVE漏洞編號(hào)),平均每個(gè)軟件項(xiàng)目存在66個(gè)已知開(kāi)源軟件漏洞,最多的軟件項(xiàng)目存在1200個(gè)已知開(kāi)源軟件漏洞。

    其中,存在已知開(kāi)源軟件漏洞的項(xiàng)目有2280個(gè),占比高達(dá)89.2%;存在已知高危開(kāi)源軟件漏洞的項(xiàng)目有2062個(gè),占比為80.6%;存在已知超危開(kāi)源軟件漏洞的項(xiàng)目有1802個(gè),占比為70.5%。影響范圍最大的開(kāi)源軟件漏洞為SpringFramework安全漏洞(漏洞編號(hào)為CVE-2020-5421),影響了44.3%的軟件項(xiàng)目。

    值得警惕的是,在所有存在已知開(kāi)源軟件漏洞的項(xiàng)目中,部分軟件項(xiàng)目中竟然還存在多年前已公開(kāi)并修復(fù)的古老漏洞,最古老的漏洞是2005年11月公開(kāi)的CVE-2005-3510,仍然存在于31個(gè)項(xiàng)目中。

    與此同時(shí),開(kāi)源軟件的漏洞數(shù)量仍呈高速上漲的趨勢(shì)。據(jù)奇安信代碼安全實(shí)驗(yàn)室監(jiān)測(cè)與統(tǒng)計(jì),截至2020年底,CVE/NVD、CNNVD、CNVD等公開(kāi)漏洞庫(kù)中共收錄開(kāi)源軟件相關(guān)漏洞41342個(gè),其中5366個(gè)為2020年度新增漏洞。

    報(bào)告認(rèn)為,軟件供應(yīng)鏈已經(jīng)成為網(wǎng)絡(luò)空間攻防對(duì)抗的焦點(diǎn),直接影響關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)安全。然而,目前我國(guó)在軟件供應(yīng)鏈安全方面的基礎(chǔ)比較薄弱,亟須從國(guó)家、行業(yè)、機(jī)構(gòu)、企業(yè)各個(gè)層面建立軟件供應(yīng)鏈安全風(fēng)險(xiǎn)的發(fā)現(xiàn)能力、分析能力、處置能力、防護(hù)能力,整體提升軟件供應(yīng)鏈安全管理的水平。

(編輯 李波)

-證券日?qǐng)?bào)網(wǎng)
  • 24小時(shí)排行 一周排行
  • 深度策劃

洞察半年報(bào)新動(dòng)能

產(chǎn)因城強(qiáng),城因產(chǎn)興。工業(yè)化與城市化是經(jīng)濟(jì)社會(huì)……[詳情]

版權(quán)所有證券日?qǐng)?bào)網(wǎng)

互聯(lián)網(wǎng)新聞信息服務(wù)許可證 10120180014增值電信業(yè)務(wù)經(jīng)營(yíng)許可證B2-20181903

京公網(wǎng)安備 11010202007567號(hào)京ICP備17054264號(hào)

證券日?qǐng)?bào)網(wǎng)所載文章、數(shù)據(jù)僅供參考,使用前務(wù)請(qǐng)仔細(xì)閱讀法律申明,風(fēng)險(xiǎn)自負(fù)。

證券日?qǐng)?bào)社電話:010-83251700網(wǎng)站電話:010-83251800

網(wǎng)站傳真:010-83251801電子郵件:xmtzx@zqrb.net

證券日?qǐng)?bào)APP

掃一掃,即可下載

官方微信

掃一掃,加關(guān)注

官方微博

掃一掃,加關(guān)注