奇安信《软件供应链安全报告》：软件供应链安全保障应加强顶层设计

2024年8月12日，奇安信集团对外发布《2024中国软件供应链安全分析报告》（以下简称《报告》）。《报告》显示，国内企业软件项目，开源软件使用率达100%。目前，开源软件漏洞指标仍处于高位，软件供应链的安全问题并没有得到根本性的改善，20多年前的开源软件漏洞仍然存在于多个软件项目中。《报告》建议，软件供应链安全保障应加强顶层设计，持续推进和落地相关保护工作。

《报告》通过对2023年国内企业自主开发源代码的分析发现，虽然整体缺陷密度达到12.76个/千行，高于以往各年，但高危缺陷的密度为0.52个/千行，比之前三年有明显的下降；NULL引用类缺陷的检出率为25.7%，较往年也有较大降低。奇安信代码安全实验室认为，该趋势的出现，很大程度上得益于软件开发过程中，研发企业对重点缺陷逐渐重视，针对重点问题的安全编码规范进一步普及，并且代码审计工具的使用持续推广。

与此同时，国内企业因使用开源软件而引入安全风险的状况依然不容忽视。2023年，奇安信代码安全实验室对1763个国内企业软件项目中使用开源软件的情况进行分析发现，全部使用了开源软件，使用率为100%，平均每个项目使用了166个开源软件，数量再创新高。另一方面，平均每个项目存在83个已知开源软件漏洞，含有容易利用的开源软件漏洞的项目占比为68.1%；存在已知开源软件漏洞、高危漏洞、超危漏洞的项目占比分别为88.0%、81.0%和71.9%，与去年相比均有所下降。其他如古老开源软件漏洞、老旧开源软件版本使用等方面的状况基本与之前历年持平。由此可见，国内企业使用开源软件的安全状况虽有所好转，但风险依然处于高位。

《报告》认为，虽然从趋势来看，上述的软件供应链安全问题有一定程度的缓解，但另一方面，这些指标数据仍处于高位，软件供应链的安全问题并没有得到根本性的改变。值得高兴的是，越来越多的机构和企业开始关注并实施软件供应链的安全，一些机构和企业基于规范的流程和实践，落地了相应的解决方案和检测平台。但就目前的形势而言，这些经验、方法和工具还需要进一步的持续完善、推广和应用。

《报告》尤其提出了加强软件供应链安全顶层设计的必要性和紧迫性。《报告》指出，欧美国家高度重视软件供应链安全保障，在前两年密集完成了一系列政策、框架、指南、最佳实践等的制定和修订后，转入了基于这些文件的监管执行阶段，例如根据美国OMB备忘录M-22-18、M-23-16的要求和SSDF 1.1框架，CISA于2024年3月发布了《安全软件开发证明表格》，美联邦政府的软件生产供应商需基于该表格证明自己实施特定安全实践的情况；同时，CISA还建立了软件证明和工件存储库，以促使美联邦政府的软件生产供应商上传软件证明表格和相关工件，其中也包括“关键软件”。

国内在软件供应链安全保护方面的工作也在扎实推进中，一是顶层规范不断完善，国家标准中《软件供应链安全要求》和《软件产品开源代码安全评价方法》已发布，《软件物料清单数据格式》也已完成公开征求意见；二是行业建设如火如荼，多个行业的机构开展了面向软件供应链安全、开源软件治理、软件物料清单（SBOM）生成和应用等方面的能力建设、能力评估、工具评价等工作；三是解决方案持续落地，国内一些头部网络安全公司和大型企业组织陆续推出或落地了较为全面的软件供应链安全解决方案，并在持续的完善。

然而，目前国内仍然缺少软件供应链安全管理领域权威的实施指南。因此，应加强软件供应链安全保障的顶层设计，建立健全软件供应链安全的指导监督机制和基础服务设施，并尽量覆盖所有类型的软件生产和供应商。为此，《报告》提出了三方面建议，一是建立国家层面统一的软件供应链安全保护基础设施；二是完善国家和行业级的软件供应链安全测评认证体系；三是健全关基软件供应商安全实践证明材料的备案机制。