2024年8月12日，奇安信集團(tuán)對外發(fā)布《2024中國軟件供應(yīng)鏈安全分析報告》（以下簡稱《報告》）?！秷蟾妗凤@示，國內(nèi)企業(yè)軟件項目，開源軟件使用率達(dá)100%。目前，開源軟件漏洞指標(biāo)仍處于高位，軟件供應(yīng)鏈的安全問題并沒有得到根本性的改善，20多年前的開源軟件漏洞仍然存在于多個軟件項目中?！秷蟾妗方ㄗh，軟件供應(yīng)鏈安全保障應(yīng)加強(qiáng)頂層設(shè)計，持續(xù)推進(jìn)和落地相關(guān)保護(hù)工作。

《報告》通過對2023年國內(nèi)企業(yè)自主開發(fā)源代碼的分析發(fā)現(xiàn)，雖然整體缺陷密度達(dá)到12.76個/千行，高于以往各年，但高危缺陷的密度為0.52個/千行，比之前三年有明顯的下降；NULL引用類缺陷的檢出率為25.7%，較往年也有較大降低。奇安信代碼安全實(shí)驗室認(rèn)為，該趨勢的出現(xiàn)，很大程度上得益于軟件開發(fā)過程中，研發(fā)企業(yè)對重點(diǎn)缺陷逐漸重視，針對重點(diǎn)問題的安全編碼規(guī)范進(jìn)一步普及，并且代碼審計工具的使用持續(xù)推廣。

與此同時，國內(nèi)企業(yè)因使用開源軟件而引入安全風(fēng)險的狀況依然不容忽視。2023年，奇安信代碼安全實(shí)驗室對1763個國內(nèi)企業(yè)軟件項目中使用開源軟件的情況進(jìn)行分析發(fā)現(xiàn)，全部使用了開源軟件，使用率為100%，平均每個項目使用了166個開源軟件，數(shù)量再創(chuàng)新高。另一方面，平均每個項目存在83個已知開源軟件漏洞，含有容易利用的開源軟件漏洞的項目占比為68.1%；存在已知開源軟件漏洞、高危漏洞、超危漏洞的項目占比分別為88.0%、81.0%和71.9%，與去年相比均有所下降。其他如古老開源軟件漏洞、老舊開源軟件版本使用等方面的狀況基本與之前歷年持平。由此可見，國內(nèi)企業(yè)使用開源軟件的安全狀況雖有所好轉(zhuǎn)，但風(fēng)險依然處于高位。

《報告》認(rèn)為，雖然從趨勢來看，上述的軟件供應(yīng)鏈安全問題有一定程度的緩解，但另一方面，這些指標(biāo)數(shù)據(jù)仍處于高位，軟件供應(yīng)鏈的安全問題并沒有得到根本性的改變。值得高興的是，越來越多的機(jī)構(gòu)和企業(yè)開始關(guān)注并實(shí)施軟件供應(yīng)鏈的安全，一些機(jī)構(gòu)和企業(yè)基于規(guī)范的流程和實(shí)踐，落地了相應(yīng)的解決方案和檢測平臺。但就目前的形勢而言，這些經(jīng)驗、方法和工具還需要進(jìn)一步的持續(xù)完善、推廣和應(yīng)用。

《報告》尤其提出了加強(qiáng)軟件供應(yīng)鏈安全頂層設(shè)計的必要性和緊迫性。《報告》指出，歐美國家高度重視軟件供應(yīng)鏈安全保障，在前兩年密集完成了一系列政策、框架、指南、最佳實(shí)踐等的制定和修訂后，轉(zhuǎn)入了基于這些文件的監(jiān)管執(zhí)行階段，例如根據(jù)美國OMB備忘錄M-22-18、M-23-16的要求和SSDF 1.1框架，CISA于2024年3月發(fā)布了《安全軟件開發(fā)證明表格》，美聯(lián)邦政府的軟件生產(chǎn)供應(yīng)商需基于該表格證明自己實(shí)施特定安全實(shí)踐的情況；同時，CISA還建立了軟件證明和工件存儲庫，以促使美聯(lián)邦政府的軟件生產(chǎn)供應(yīng)商上傳軟件證明表格和相關(guān)工件，其中也包括“關(guān)鍵軟件”。

國內(nèi)在軟件供應(yīng)鏈安全保護(hù)方面的工作也在扎實(shí)推進(jìn)中，一是頂層規(guī)范不斷完善，國家標(biāo)準(zhǔn)中《軟件供應(yīng)鏈安全要求》和《軟件產(chǎn)品開源代碼安全評價方法》已發(fā)布，《軟件物料清單數(shù)據(jù)格式》也已完成公開征求意見；二是行業(yè)建設(shè)如火如荼，多個行業(yè)的機(jī)構(gòu)開展了面向軟件供應(yīng)鏈安全、開源軟件治理、軟件物料清單（SBOM）生成和應(yīng)用等方面的能力建設(shè)、能力評估、工具評價等工作；三是解決方案持續(xù)落地，國內(nèi)一些頭部網(wǎng)絡(luò)安全公司和大型企業(yè)組織陸續(xù)推出或落地了較為全面的軟件供應(yīng)鏈安全解決方案，并在持續(xù)的完善。

然而，目前國內(nèi)仍然缺少軟件供應(yīng)鏈安全管理領(lǐng)域權(quán)威的實(shí)施指南。因此，應(yīng)加強(qiáng)軟件供應(yīng)鏈安全保障的頂層設(shè)計，建立健全軟件供應(yīng)鏈安全的指導(dǎo)監(jiān)督機(jī)制和基礎(chǔ)服務(wù)設(shè)施，并盡量覆蓋所有類型的軟件生產(chǎn)和供應(yīng)商。為此，《報告》提出了三方面建議，一是建立國家層面統(tǒng)一的軟件供應(yīng)鏈安全保護(hù)基礎(chǔ)設(shè)施；二是完善國家和行業(yè)級的軟件供應(yīng)鏈安全測評認(rèn)證體系；三是健全關(guān)基軟件供應(yīng)商安全實(shí)踐證明材料的備案機(jī)制。