穿越「攻擊常態化」迷霧，這份報告直擊「中國軟件供應鏈安全」的真實面貌

近一年，軟件供應鏈安全領域演繹了一曲曲冰與火之歌。

一曲是重金屬搖滾：黑客的攻擊殺傷力不減，密集度遞增。

一曲是婉轉憂思：軟件供應鏈安全，各國不同領域心有戚戚。

SolarWinds的APT攻擊、35家大型科技公司的依賴混淆攻擊、互聯網使用率達79.2%的PHP攻擊、Codecov供應鏈攻擊。

上到專業的網絡安全軟件產品供應商，下到微軟、蘋果、Paypal、特斯拉等科技巨頭，皆中招。

近半年，軟件供應鏈攻擊幾乎在每個月爆發，越來越復雜的軟件開發工具鏈下，未來的攻擊會更多。

在這種背景下，6月2日，奇安信集團發布《2021中國軟件供應鏈安全分析報告》，對國內軟件供應鏈各個環節的安全風險，進行了深入細致的研究和解讀。

這份報告，來得恰逢其時。

它關乎每個人的生命安全、財產安全，關乎國家、社會不同層面安全。

軟件供應鏈安全，我們不再陌生，也不應該陌生。

擊一發而連全身

"吃了不好的食品會生病，用了不好的軟件會被攻擊。"

奇安信集團代碼安全事業部總經理、代碼安全實驗室主任黃永剛的這個例子非常形象。

"牛奶從奶農、奶站到車間，各個環節都可能導致原材料被污染，造成食品安全問題。同樣，軟件供應鏈可劃分為開發、交付、運行三個大的環節，每個環節都可能會引入供應鏈安全風險從而遭受攻擊，上游環節的安全問題會傳遞到下游環節并被放大。"

奇安信集團代碼安全事業部總經理、代碼安全實驗室主任黃永剛

如果細化整個過程，軟件供應鏈涉及規劃設計、開發集成、分發部署、運行維護、升級修復等等環節。

換言之，能夠影響軟件交付的一切因素和環節，都在軟件供應鏈范圍之內，當然，也在黑客攻擊范圍內。

黑客只需要在以上龐大的軟件供應鏈基礎設施中任一環節，通過人或系統的漏洞乘虛而入，并沿著供應鏈向后滲透，植入惡意程序或代碼，或進行小規模的隱形攻擊，或長期潛伏在目標系統中，就能如抽積木般，對整個計算機系統造成損害。

軟件供應鏈攻擊并非新興事物。

早在1984年，圖靈獎獲得者、UNIX和C語言的發明人肯·湯普森（Ken Thompson）在其著名的《Reflections On Trusting Trust》中就討論過這種攻擊。

當今這個開源代碼、開源軟件無處不在的世界，也成為軟件供應鏈攻擊的盛宴，黑客的狂歡。

軟件供應鏈安全中，很大一部分風險來自依賴關系。

比如源代碼是軟件的原始形態，位于軟件供應鏈的源頭，源代碼安全是軟件供應鏈安全的基礎。

行業數據表明，99%的代碼庫中包含開源代碼，85%至97%的企業代碼庫源自開源代碼。

現代軟件的源代碼絕大多數是混源代碼，由企業自主開發的源代碼和開源軟件代碼共同組成，對源代碼的依賴程度極深。

對于第三方或開源依賴關系中的漏洞，可能會在我們毫不知情的情況下成為惡意攻擊缺口。

供應鏈中未修復的漏洞、無心之過或者對依賴關系的惡意攻擊，因無法自主控制，無時無刻都處于潛在威脅之中。

而在當軟件研發從作坊式發展到規?；a模式時，軟件規模越來越大，程序邏輯越來越復雜，對軟件完整語義的理解及操作邏輯的把握越來越困難，設計缺陷、深層次漏洞更難以發現，后門更易于隱藏。

這些也使得軟件供應鏈增添了"威脅對象種類多、極端隱蔽、涉及緯度廣、攻擊成本低回報高、檢測困難"等特性。

因此，當軟件供應鏈攻擊如覆巢出動，舉目四望，損傷眾多。

2020年12月，網絡安全管理軟件供應商SolarWinds遭遇國家級APT團伙供應鏈攻擊，導致包括美國關基、軍隊、政府在內的18000多家客戶全部受到影響，成為年度最嚴重的供應鏈安全事件。

此類攻擊并非孤例，甚至愈演愈烈。

2021年5月12日，美國總統拜登發布了旨在改進美國網絡安全局勢的行政令。

這項行政令被稱為美國聯邦政府試圖保護美國軟件供應鏈安全采取的最強勁措施。

其中有項史無前例的規定：

要求向聯邦政府出售軟件的任何企業不僅提供應用程序，而且還必須提供軟件物料清單 (SBOM)，提供組成該應用程序組件的透明度。

這意味著，關于組成軟件應用的成分（組件）清單，比如包含的開源和第三方的組件等信息都需在售賣給政府時提供。

另外，該行政令指示國防、公共衛生、信息和通信技術、能源、交通以及農產品和食品生產行業進行供應鏈風險評估，并在一年內提交商業/國土安全聯合報告。

當惡意攻擊頻發，國外以政府之力推動安全道路向前時，一直以來軟件供應鏈基礎薄弱的中國，眼下具體形勢如何？

木舟之下，巨鯊已現

奇安信早就意識到軟件供應鏈安全，以日進一寸之力在該領域深耕多年。

奇安信代碼安全實驗室此次發布的《2021年中國軟件供應鏈安全綜合分析報告》，全面從開源軟件生態發展狀況、開源軟件源代碼安全狀況、開源軟件公開報告漏洞狀況、開源軟件活躍度狀況等四個方面對2020年開源軟件生態發展與安全狀況進行綜合分析。

揭開面紗，直面中國軟件供應鏈安全的真實面貌。

而以下內容，是從業者理應知曉的行業現況。

1、每1000行代碼就有超過10個安全缺陷。

報告顯示，2020年全年，2001個國內企業自主開發的軟件項目源代碼中，檢測的代碼總量為335011173行，共發現安全缺陷3387642個，其中高危缺陷361812個，整體缺陷密度為10.11個/千行，高危缺陷密度為1.08個/千行。

開源軟件的安全缺陷則更加密集。2020年全年,1364個開源軟件項目中，代碼總量為124296804行，共發現安全缺陷1859129個，其中高危缺陷117738個。2020年檢測的1364個開源軟件項目整體缺陷密度為14.96個/千行，高危缺陷密度為0.95個/千行。

2、超8成項目存在高危開源軟件漏洞。

與企業自主編寫的源代碼相同，開源軟件同樣位于軟件供應鏈的源頭，且其源代碼絕大多數是混源代碼。

奇安信從兩個層面回答這個問題：

一是國內企業在軟件開發中是否使用以及使用了多少開源軟件？

二是其使用的開源軟件是否存在安全問題？

在奇安信代碼安全實驗室分析的2557個國內企業軟件項目中，應用領域涉及政府、金融、能源等重要行業，無一例外，均使用了開源軟件。

這100%的開源軟件使用率，大大超出了軟件項目管理者和程序員自身的認知。

要知道，由于開源軟件之間的依賴關系錯綜復雜，且軟件開發中依賴包的管理通常通過包管理器程序自動管理，軟件開發者常常意識不到自己使用了數量巨大的開源軟件，因此當某個開源軟件曝出安全漏洞時，軟件開發者常常"躺槍"而不自知，這中間隱含了巨大的軟件供應鏈安全風險。

而且流行的開源軟件被近1/4的軟件項目使用，這些開源軟件一旦出現安全漏洞，影響面甚廣。

在2557個國內企業軟件項目中，共檢出168604個已知開源軟件漏洞（涉及到4166個唯一CVE漏洞編號），平均每個軟件項目存在66個已知開源軟件漏洞，最多的軟件項目存在1200個已知開源軟件漏洞。

其中，存在已知開源軟件漏洞的項目有2280個，占比高達89.2%；存在已知高危開源軟件漏洞的項目有2062個，占比為80.6%；存在已知超危開源軟件漏洞的項目有1802個，占比為70.5%。影響范圍最大的開源軟件漏洞為Spring Framework中的安全漏洞（漏洞編號為CVE-2020-5421），影響了44.3%的軟件項目。

3、開源軟件活躍度狀況堪憂。

活躍度也是衡量開源軟件安全性的一個重要維度。

不活躍的開源軟件，無論是更新頻率低或被廢棄，一旦出現安全漏洞，難以得到及時的修復，安全風險很高。

而活躍的開源軟件中，如果其版本更新發布的頻率過高，同樣會增加使用者運維的成本和安全風險。

報告發現，2020年，61.6%的開源軟件項目處于不活躍狀態，13000多個開源軟件一年內更新發布超過100個版本。

4、18年前的老舊開源軟件版本仍在被使用。

在開源軟件運維風險層面，報告發現，其中，甚至18年前的老舊開源軟件版本仍在被使用，且不少項目已無人維護，各個項目中開源軟件使用的版本非?；靵y，標準、升級情況都不一。

與此同時，開源軟件的漏洞數量仍呈高速上漲的趨勢。據奇安信代碼安全實驗室監測與統計，截至2020年底，CVE/NVD、CNNVD、CNVD等公開漏洞庫中共收錄開源軟件相關漏洞41342個，其中5366個為2020年度新增漏洞。

行業所需之聲

軟件供應鏈安全威脅無處不在，它們專業性高、隱蔽性強、范圍廣。

這些都讓網絡安全這個乍看并不性感的行業，不出圈則已，一出圈即是影響甚廣的大事件。

萬物互聯的今天，縱橫交錯的市場，已沒有企業可獨善其身。行業需要更多的聲音、更大的力度，讓行業內外意識到安全之重、之要。

撰寫此次報告的代碼安全實驗室，是奇安信旗下專注于軟件源代碼安全分析技術、二進制漏洞挖掘技術研究與開發的團隊，在行業具有多年的積累。

代碼實驗室曾多次向國家信息安全漏洞庫 (CNNVD) 和國家信息安全漏洞共享平臺(CNVD) 報送原創通用型漏洞信息并獲得表彰，也曾發現谷歌、微軟、蘋果、Oracle、Juniper、Adobe、Vmware、阿里云、華為、騰訊、滴滴等大型廠商和機構的數百個安全缺陷和漏洞，并獲官方致謝和能力肯定。

在團隊實力方面， 國家信息安全漏洞庫（CNNVD）特聘專家一名，多名成員入選微軟全球TOP安全研究者、Oracle安全縱深防御計劃貢獻者等精英榜單。在Pwn2Own 2017世界黑客大賽上，實驗室成員還曾獲得Master of Pwn破解大師冠軍稱號。

專業實力與時間磨礪下，這份報告通過信息高度凝練，已然清晰地展示了中國在軟件供應鏈安全方面的各種問題：

基礎薄弱、意識不足、開源漏洞風險、開源軟件運維風險、活躍度狀況......

在軟件供應鏈安全潛在威脅之下，企業需要這樣一份報告判斷軟件供應鏈安全的現狀，了解潛在的市場風險，以此制定相關的戰略規劃。

投資機構，需要一份專業的研報，作為判斷行業是否進入有價值的參考之一。

安全領域創業者，需要一份研究報告認識到自己的優劣勢，改善資源配置，揚長避短。

《2021中國軟件供應鏈安全分析報告》的發布，可謂正當其時。奇安信代碼安全實驗室的專家成員團隊，保障了這份報告的含金量。

團體賽的征程

軟件供應鏈安全問題是全球信息大國普遍面臨的問題。

歐美顯然從未停止尋找應對之法，美國在2009年發布《美國網絡安全空間安全政策評估報告》，將ICT供應鏈安全提高到國家戰略層面。

美國各大巨頭也十分重視軟件供應鏈安全并付諸行動。

比如微軟曾于2002年1月發起了微軟可信計算計劃，推出微軟安全開發生命周期，使安全成為設計、編碼、測試軟件產品的關鍵因素，并自主研制安全測試及分析自動化工具，明顯提升了微軟核心產品的安全性。

谷歌也高度重視軟件供應鏈安全，建多支安全審計小組，研發分析檢測工具，對自研軟件和所采用的第三方構件，特別是開源構件進行嚴格的安全審計。

除IT公司巨頭外，一些專業的安全公司和組織在供應鏈安全事件的發現與防護方面也功不可沒。

中國正從網絡大國邁向網絡強國，但軟件供應鏈安全推行力度遠遠不夠：

國家層面，缺少體系化的制度和相關政策予以支持；行業層面，對軟件供應鏈安全技術研發的投入不夠；在社會層面，對軟件供應鏈安全問題缺乏重視，未建立起相關工作機制。

一方面，數字化時代，無處不在的軟件成為支撐社會正常運轉的基本元素之一。另一方面，軟件供應鏈已成為網絡空間、攻防對抗的焦點，直接影響基礎設施和重要信息系統的安全。

當無論是物理空間還是網絡空間，都以供應鏈連接，這種廣泛存在、體系龐大復雜且非常分散的供應鏈，關系每一個人和世界上每一個角落，這項系統工程也需要長期、持續投入，更需要各個層面的團體合作。雷鋒網雷鋒網雷鋒網

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。