软件供应链安全现状分析与对策建议.pdfVIP

软件供应链安全现状分析与对策建议

数字化时代，软件无处不在。软件已经成为支撑社会正常运转的最基本元

素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着

软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入

一系列的安全问题，导致信息系统的整体安全防护难度越来越大。

一、软件供应链安全现状

近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危

害也越来越严重，其中，开源软件的安全问题尤其值得关注。

（一）供应链安全事件持续高发

软件供应链安全事件愈演愈烈，下表归纳了最近一年的典型事件，但这只

是冰山一角。不难看出，供应链攻击可谓无处不在，在软件生命周期的各个环

节中、软件产品的各种元素上都可能发生。

表1近一年主要软件供应链安全事件

（二）主要软件供应链攻击类型

软件产品的生命周期包括设计、生产、交付、部署、使用及运营、停止等

阶段。面向此生命周期所涉及的分工协作、联合攻关、平台环境等就是软件供

应链的主要内容，软件供应链的主要攻击类型也与这些环节密切相关。

生产阶段涉及软件产品的开发、集成、构建等，此阶段的供应链安全问题

主要包括三类：第一类是针对软件生产要素的攻击，即攻击者利用安全漏洞、

后门等修改编码环境、源码库等开发工具或软件自身，植入恶意代码，并经网

络、存储介质等进行传播，用户下载使用后，引入风险；第二类是开发者对所

使用的第三方软件，特别是开源组件未经安全测试而直接使用，不了解其中的

安全漏洞和法律风险；第三类是软件产品构建时，在编译和链接、产品容器

化、打包等过程中，使用的工具或产品对象本身被污染或恶意修改而带来的安

全风险，如Codecov事件。

交付和运营阶段涉及软件产品的发布、传输、下载、安装、补丁升级等，

互联网或移动传输介质是其重要手段。在发布和下载方面，发布渠道或商城如

对软件安全性缺乏分析和测试则会存在潜在风险；攻击者可通过捆绑攻击，在

常用软件中捆绑额外功能，如果这些功能涉及用户隐私、信息的收集，则后患

无穷；针对发布站点的攻击，如域名劫持（DNS）、内容分发系统（CDN）缓

存节点篡改等，会使用户下载存在恶意代码或后门的软件。在软件更新和升级

方面，攻击者可能通过中间人攻击替换升级软件或补丁包，或诱导用户从非官

方发布渠道下载，以达到攻击的目的，也可能使用捆绑攻击在升级包中增加额

外软件功能。

（三）开源安全问题应特别关注

Gartner报告曾指出，在当前DevOps之类的开发模式下，应用程序中

大部分代码是被“组装”而不是“开发”出来的。据其统计，超过95%的组

织在业务关键IT系统中都主动或被动地使用了重要的开源软件（OSS）资

产；ForresterResearch研究也表明，应用软件80%~90%的代码来自开源

组件。因此，开源组件的安全性直接关系到信息系统基础设施的安全，但从前

表中可以看出，开源安全性不容乐观，它已成为软件供应链安全问题增长的重

要因素。

今年6月，奇安信代码安全实验室发布了《2021中国软件供应链安全分

析报告》。报告通过对2188个企业软件项目的检测结果进行分析，得出了开

源使用的安全状况：所有软件项目均使用了开源软件，平均每个项目使用开源

软件数量达135个，使用最多的开源软件出现在581个项目中，渗透率达到

了26.6%；平均每个软件项目存在52.5个开源软件漏洞，存在开源软件漏

洞、高危开源软件漏洞和超危开源软件漏洞的项目分别为1695个、1559

个、1319个，占比分别为77.5%、71.3%、60.3%；影响面最大的开源软件

漏洞(SpringFrameWork漏洞)出现在973个项目中，渗透率高达

44.5%，一旦该漏洞被攻击者利用，将影响近半数的企业软件，波及的企业数

量更加不计其数。

此外，根据奇安信代码安全实验室另一项针对联网设备固件的安全检测表

明，摄像头、路由器等智能联网设备的开源软件安全问题也很突出：许多多年

之前的老旧漏洞未进行及时修复，86.4%的设备的必威体育精装版固件存在至少一个老旧

开源软件漏洞，漏洞最多的固件存在74个老旧开源软件漏洞，甚至2014年