2020年12月13日，全球最著名的網(wǎng)管軟件供應(yīng)商SolarWinds遭遇高度復(fù)雜的供應(yīng)鏈攻擊，包括美國關(guān)鍵基礎(chǔ)設(shè)施、軍隊、政府在內(nèi)的18000+企業(yè)客戶，可任由攻擊者完全操控，這件事再度敲響了軟件供應(yīng)鏈安全的警鐘。

　　“‘企業(yè)自主開發(fā)代碼缺陷密度達(dá)10.13個/千行’、‘開源項目源代碼缺陷密度達(dá)14.22個/千行’、‘存在開源軟件漏洞的項目占比達(dá)77.5%’……這一個個數(shù)據(jù)的背后，無不透露出軟件供應(yīng)鏈存在著巨大的安全隱患?！?/p>

　　軟件供應(yīng)鏈面臨巨大安全危機

　　為應(yīng)對軟件供應(yīng)鏈安全挑戰(zhàn)，5月12日，美國總統(tǒng)拜登簽署了“加強國家網(wǎng)絡(luò)安全的行政命令”，明確提出要加強軟件供應(yīng)鏈安全，要求向聯(lián)邦政府出售軟件的任何企業(yè)不僅提供應(yīng)用程序，而且還必須提供軟件物料清單 （即軟件的各項組件）。

　　從近幾年的網(wǎng)絡(luò)攻擊趨勢來看，軟件（包括固件）尤其是較為流行的軟件供應(yīng)鏈，正在成為黑客實施供應(yīng)鏈攻擊的重要突破口，而且此類攻擊往往能夠“突破一點，打擊一片”，危害性極大，甚至很多網(wǎng)絡(luò)安全軟件自身都存在供應(yīng)鏈風(fēng)險。

　　“軟件供應(yīng)鏈可劃分為開發(fā)、交付、運行三個大的環(huán)節(jié)，每個環(huán)節(jié)都可能會引入供應(yīng)鏈安全風(fēng)險從而遭受攻擊，上游環(huán)節(jié)的安全問題會傳遞到下游環(huán)節(jié)并被放大?！?/p>

　　開源軟件的源代碼缺陷則更加密集。開軟項目的缺陷密度達(dá)到了14.22個/千行，其中高危缺陷密度則為0.72個/千行。眾所周知，開源軟件是軟件開發(fā)最基礎(chǔ)的原材料，位于軟件供應(yīng)鏈的源頭，且應(yīng)用及其廣泛。其自身的安全狀況，直接影響最終軟件的安全性。

　　近8成軟件項目引入了開源軟件漏洞

　　針對2188個企業(yè)軟件項目的檢測結(jié)果顯示，所有軟件項目均使用了開源軟件，平均每個項目使用開源軟件數(shù)量達(dá)135個；其中被使用最多的開源軟件出現(xiàn)在了581個項目中，滲透率達(dá)到了26.6%。

　　在所有被檢測的項目中，平均每個項目存在52.5個開源軟件漏洞。其中，存在開源軟件漏洞的項目1695個，占比77.5%；存在高危開源軟件漏洞的項目1559個，占比71.3%；存在超危開源軟件漏洞的項目1319個，占比60.3%。

　　值得關(guān)注的是，影響面最大的開源軟件漏洞（Spring FrameWork漏洞）出現(xiàn)在973個項目中，滲透率高達(dá)44.5%。這也就是說，一旦該漏洞被攻擊者利用，將影響近半數(shù)的企業(yè)軟件，波及的企業(yè)數(shù)量更加不計其數(shù)。

　　與此同時，攝像頭、路由器等智能聯(lián)網(wǎng)設(shè)備也未能幸免，針對聯(lián)網(wǎng)設(shè)備固件中引用的開源軟件及其漏洞進(jìn)行分析。86.4%的設(shè)備的最新固件存在至少一個老舊開源軟件漏洞，漏洞最多的固件存在74個老舊開源軟件漏洞。更有甚者，2014年曝出的“心臟滴血”漏洞，仍然存在于5.3%的最新設(shè)備中。

　　供應(yīng)鏈安全應(yīng)成為數(shù)字化的底板

　　在當(dāng)前軟件供應(yīng)鏈安全基礎(chǔ)較薄弱的形勢下，軟件供應(yīng)鏈安全應(yīng)成為信息系統(tǒng)安全的底板工程，亟需建立安全與軟件供應(yīng)鏈全生命周期深度融合、全面覆蓋的安全體系，來保障軟件從開發(fā)、交付到運行的全過程、全生命周期安全。

　　其中，針對軟件成分及其風(fēng)險的分析，是軟件供應(yīng)鏈安全的基礎(chǔ)和關(guān)鍵部分，建議作為軟件供應(yīng)鏈安全工作開展的首要事。用戶在采購商業(yè)貨架軟件、自行開發(fā)軟件系統(tǒng)或委托第三方定制開發(fā)軟件系統(tǒng)時，應(yīng)對軟件源代碼、二進(jìn)制代碼中所包含的開源軟件成分及其安全風(fēng)險進(jìn)行充分的了解，形成開源軟件成分清單，并持續(xù)跟蹤這些開源軟件的安全風(fēng)險情報。