近一年，軟件供應(yīng)鏈安全領(lǐng)域演繹了一曲曲冰與火之歌。

一曲是重金屬搖滾：黑客的攻擊殺傷力不減，密集度遞增。

一曲是婉轉(zhuǎn)憂思：軟件供應(yīng)鏈安全，各國不同領(lǐng)域心有戚戚。

SolarWinds的APT攻擊、35家大型科技公司的依賴混淆攻擊、互聯(lián)網(wǎng)使用率達(dá)79.2%的PHP攻擊、Codecov供應(yīng)鏈攻擊。

上到專業(yè)的網(wǎng)絡(luò)安全軟件產(chǎn)品供應(yīng)商，下到微軟、蘋果、Paypal、特斯拉等科技巨頭，皆中招。

近半年，軟件供應(yīng)鏈攻擊幾乎在每個月爆發(fā)，越來越復(fù)雜的軟件開發(fā)工具鏈下，未來的攻擊會更多。

在這種背景下，6月2日，奇安信集團(tuán)發(fā)布《2021中國軟件供應(yīng)鏈安全分析報告》，對國內(nèi)軟件供應(yīng)鏈各個環(huán)節(jié)的安全風(fēng)險，進(jìn)行了深入細(xì)致的研究和解讀。

這份報告，來得恰逢其時。

它關(guān)乎每個人的生命安全、財產(chǎn)安全，關(guān)乎國家、社會不同層面安全。

軟件供應(yīng)鏈安全，我們不再陌生，也不應(yīng)該陌生。

擊一發(fā)而連全身

"吃了不好的食品會生病，用了不好的軟件會被攻擊。"

奇安信集團(tuán)代碼安全事業(yè)部總經(jīng)理、代碼安全實驗室主任黃永剛的這個例子非常形象。

"牛奶從奶農(nóng)、奶站到車間，各個環(huán)節(jié)都可能導(dǎo)致原材料被污染，造成食品安全問題。同樣，軟件供應(yīng)鏈可劃分為開發(fā)、交付、運行三個大的環(huán)節(jié)，每個環(huán)節(jié)都可能會引入供應(yīng)鏈安全風(fēng)險從而遭受攻擊，上游環(huán)節(jié)的安全問題會傳遞到下游環(huán)節(jié)并被放大。"

奇安信集團(tuán)代碼安全事業(yè)部總經(jīng)理、代碼安全實驗室主任黃永剛

如果細(xì)化整個過程，軟件供應(yīng)鏈涉及規(guī)劃設(shè)計、開發(fā)集成、分發(fā)部署、運行維護(hù)、升級修復(fù)等等環(huán)節(jié)。

換言之，能夠影響軟件交付的一切因素和環(huán)節(jié)，都在軟件供應(yīng)鏈范圍之內(nèi)，當(dāng)然，也在黑客攻擊范圍內(nèi)。

黑客只需要在以上龐大的軟件供應(yīng)鏈基礎(chǔ)設(shè)施中任一環(huán)節(jié)，通過人或系統(tǒng)的漏洞乘虛而入，并沿著供應(yīng)鏈向后滲透，植入惡意程序或代碼，或進(jìn)行小規(guī)模的隱形攻擊，或長期潛伏在目標(biāo)系統(tǒng)中，就能如抽積木般，對整個計算機系統(tǒng)造成損害。

軟件供應(yīng)鏈攻擊并非新興事物。

早在1984年，圖靈獎獲得者、UNIX和C語言的發(fā)明人肯·湯普森（Ken Thompson）在其著名的《Reflections On Trusting Trust》中就討論過這種攻擊。

當(dāng)今這個開源代碼、開源軟件無處不在的世界，也成為軟件供應(yīng)鏈攻擊的盛宴，黑客的狂歡。

軟件供應(yīng)鏈安全中，很大一部分風(fēng)險來自依賴關(guān)系。

比如源代碼是軟件的原始形態(tài)，位于軟件供應(yīng)鏈的源頭，源代碼安全是軟件供應(yīng)鏈安全的基礎(chǔ)。

行業(yè)數(shù)據(jù)表明，99%的代碼庫中包含開源代碼，85%至97%的企業(yè)代碼庫源自開源代碼。

現(xiàn)代軟件的源代碼絕大多數(shù)是混源代碼，由企業(yè)自主開發(fā)的源代碼和開源軟件代碼共同組成，對源代碼的依賴程度極深。

對于第三方或開源依賴關(guān)系中的漏洞，可能會在我們毫不知情的情況下成為惡意攻擊缺口。

供應(yīng)鏈中未修復(fù)的漏洞、無心之過或者對依賴關(guān)系的惡意攻擊，因無法自主控制，無時無刻都處于潛在威脅之中。

而在當(dāng)軟件研發(fā)從作坊式發(fā)展到規(guī)?；a(chǎn)模式時，軟件規(guī)模越來越大，程序邏輯越來越復(fù)雜，對軟件完整語義的理解及操作邏輯的把握越來越困難，設(shè)計缺陷、深層次漏洞更難以發(fā)現(xiàn)，后門更易于隱藏。

這些也使得軟件供應(yīng)鏈增添了"威脅對象種類多、極端隱蔽、涉及緯度廣、攻擊成本低回報高、檢測困難"等特性。

因此，當(dāng)軟件供應(yīng)鏈攻擊如覆巢出動，舉目四望，損傷眾多。

2020年12月，網(wǎng)絡(luò)安全管理軟件供應(yīng)商SolarWinds遭遇國家級APT團(tuán)伙供應(yīng)鏈攻擊，導(dǎo)致包括美國關(guān)基、軍隊、政府在內(nèi)的18000多家客戶全部受到影響，成為年度最嚴(yán)重的供應(yīng)鏈安全事件。

此類攻擊并非孤例，甚至愈演愈烈。

2021年5月12日，美國總統(tǒng)拜登發(fā)布了旨在改進(jìn)美國網(wǎng)絡(luò)安全局勢的行政令。

這項行政令被稱為美國聯(lián)邦政府試圖保護(hù)美國軟件供應(yīng)鏈安全采取的最強勁措施。

其中有項史無前例的規(guī)定：

要求向聯(lián)邦政府出售軟件的任何企業(yè)不僅提供應(yīng)用程序，而且還必須提供軟件物料清單 (SBOM)，提供組成該應(yīng)用程序組件的透明度。

這意味著，關(guān)于組成軟件應(yīng)用的成分（組件）清單，比如包含的開源和第三方的組件等信息都需在售賣給政府時提供。

另外，該行政令指示國防、公共衛(wèi)生、信息和通信技術(shù)、能源、交通以及農(nóng)產(chǎn)品和食品生產(chǎn)行業(yè)進(jìn)行供應(yīng)鏈風(fēng)險評估，并在一年內(nèi)提交商業(yè)/國土安全聯(lián)合報告。

當(dāng)惡意攻擊頻發(fā)，國外以政府之力推動安全道路向前時，一直以來軟件供應(yīng)鏈基礎(chǔ)薄弱的中國，眼下具體形勢如何？

木舟之下，巨鯊已現(xiàn)

奇安信早就意識到軟件供應(yīng)鏈安全，以日進(jìn)一寸之力在該領(lǐng)域深耕多年。

奇安信代碼安全實驗室此次發(fā)布的《2021年中國軟件供應(yīng)鏈安全綜合分析報告》，全面從開源軟件生態(tài)發(fā)展?fàn)顩r、開源軟件源代碼安全狀況、開源軟件公開報告漏洞狀況、開源軟件活躍度狀況等四個方面對2020年開源軟件生態(tài)發(fā)展與安全狀況進(jìn)行綜合分析。

揭開面紗，直面中國軟件供應(yīng)鏈安全的真實面貌。

而以下內(nèi)容，是從業(yè)者理應(yīng)知曉的行業(yè)現(xiàn)況。

1、每1000行代碼就有超過10個安全缺陷。

報告顯示，2020年全年，2001個國內(nèi)企業(yè)自主開發(fā)的軟件項目源代碼中，檢測的代碼總量為335011173行，共發(fā)現(xiàn)安全缺陷3387642個，其中高危缺陷361812個，整體缺陷密度為10.11個/千行，高危缺陷密度為1.08個/千行。

開源軟件的安全缺陷則更加密集。2020年全年,1364個開源軟件項目中，代碼總量為124296804行，共發(fā)現(xiàn)安全缺陷1859129個，其中高危缺陷117738個。2020年檢測的1364個開源軟件項目整體缺陷密度為14.96個/千行，高危缺陷密度為0.95個/千行。

2、超8成項目存在高危開源軟件漏洞。

與企業(yè)自主編寫的源代碼相同，開源軟件同樣位于軟件供應(yīng)鏈的源頭，且其源代碼絕大多數(shù)是混源代碼。

奇安信從兩個層面回答這個問題：

一是國內(nèi)企業(yè)在軟件開發(fā)中是否使用以及使用了多少開源軟件？

二是其使用的開源軟件是否存在安全問題？

在奇安信代碼安全實驗室分析的2557個國內(nèi)企業(yè)軟件項目中，應(yīng)用領(lǐng)域涉及政府、金融、能源等重要行業(yè)，無一例外，均使用了開源軟件。

這100%的開源軟件使用率，大大超出了軟件項目管理者和程序員自身的認(rèn)知。

要知道，由于開源軟件之間的依賴關(guān)系錯綜復(fù)雜，且軟件開發(fā)中依賴包的管理通常通過包管理器程序自動管理，軟件開發(fā)者常常意識不到自己使用了數(shù)量巨大的開源軟件，因此當(dāng)某個開源軟件曝出安全漏洞時，軟件開發(fā)者常常"躺槍"而不自知，這中間隱含了巨大的軟件供應(yīng)鏈安全風(fēng)險。

而且流行的開源軟件被近1/4的軟件項目使用，這些開源軟件一旦出現(xiàn)安全漏洞，影響面甚廣。

在2557個國內(nèi)企業(yè)軟件項目中，共檢出168604個已知開源軟件漏洞（涉及到4166個唯一CVE漏洞編號），平均每個軟件項目存在66個已知開源軟件漏洞，最多的軟件項目存在1200個已知開源軟件漏洞。

其中，存在已知開源軟件漏洞的項目有2280個，占比高達(dá)89.2%；存在已知高危開源軟件漏洞的項目有2062個，占比為80.6%；存在已知超危開源軟件漏洞的項目有1802個，占比為70.5%。影響范圍最大的開源軟件漏洞為Spring Framework中的安全漏洞（漏洞編號為CVE-2020-5421），影響了44.3%的軟件項目。

3、開源軟件活躍度狀況堪憂。

活躍度也是衡量開源軟件安全性的一個重要維度。

不活躍的開源軟件，無論是更新頻率低或被廢棄，一旦出現(xiàn)安全漏洞，難以得到及時的修復(fù)，安全風(fēng)險很高。

而活躍的開源軟件中，如果其版本更新發(fā)布的頻率過高，同樣會增加使用者運維的成本和安全風(fēng)險。

報告發(fā)現(xiàn)，2020年，61.6%的開源軟件項目處于不活躍狀態(tài)，13000多個開源軟件一年內(nèi)更新發(fā)布超過100個版本。

4、18年前的老舊開源軟件版本仍在被使用。

在開源軟件運維風(fēng)險層面，報告發(fā)現(xiàn)，其中，甚至18年前的老舊開源軟件版本仍在被使用，且不少項目已無人維護(hù)，各個項目中開源軟件使用的版本非?；靵y，標(biāo)準(zhǔn)、升級情況都不一。

與此同時，開源軟件的漏洞數(shù)量仍呈高速上漲的趨勢。據(jù)奇安信代碼安全實驗室監(jiān)測與統(tǒng)計，截至2020年底，CVE/NVD、CNNVD、CNVD等公開漏洞庫中共收錄開源軟件相關(guān)漏洞41342個，其中5366個為2020年度新增漏洞。

行業(yè)所需之聲

軟件供應(yīng)鏈安全威脅無處不在，它們專業(yè)性高、隱蔽性強、范圍廣。

這些都讓網(wǎng)絡(luò)安全這個乍看并不性感的行業(yè)，不出圈則已，一出圈即是影響甚廣的大事件。

萬物互聯(lián)的今天，縱橫交錯的市場，已沒有企業(yè)可獨善其身。行業(yè)需要更多的聲音、更大的力度，讓行業(yè)內(nèi)外意識到安全之重、之要。

撰寫此次報告的代碼安全實驗室，是奇安信旗下專注于軟件源代碼安全分析技術(shù)、二進(jìn)制漏洞挖掘技術(shù)研究與開發(fā)的團(tuán)隊，在行業(yè)具有多年的積累。

代碼實驗室曾多次向國家信息安全漏洞庫 (CNNVD) 和國家信息安全漏洞共享平臺(CNVD) 報送原創(chuàng)通用型漏洞信息并獲得表彰，也曾發(fā)現(xiàn)谷歌、微軟、蘋果、Oracle、Juniper、Adobe、Vmware、阿里云、華為、騰訊、滴滴等大型廠商和機構(gòu)的數(shù)百個安全缺陷和漏洞，并獲官方致謝和能力肯定。

在團(tuán)隊實力方面， 國家信息安全漏洞庫（CNNVD）特聘專家一名，多名成員入選微軟全球TOP安全研究者、Oracle安全縱深防御計劃貢獻(xiàn)者等精英榜單。在Pwn2Own 2017世界黑客大賽上，實驗室成員還曾獲得Master of Pwn破解大師冠軍稱號。

專業(yè)實力與時間磨礪下，這份報告通過信息高度凝練，已然清晰地展示了中國在軟件供應(yīng)鏈安全方面的各種問題：

基礎(chǔ)薄弱、意識不足、開源漏洞風(fēng)險、開源軟件運維風(fēng)險、活躍度狀況......

在軟件供應(yīng)鏈安全潛在威脅之下，企業(yè)需要這樣一份報告判斷軟件供應(yīng)鏈安全的現(xiàn)狀，了解潛在的市場風(fēng)險，以此制定相關(guān)的戰(zhàn)略規(guī)劃。

投資機構(gòu)，需要一份專業(yè)的研報，作為判斷行業(yè)是否進(jìn)入有價值的參考之一。

安全領(lǐng)域創(chuàng)業(yè)者，需要一份研究報告認(rèn)識到自己的優(yōu)劣勢，改善資源配置，揚長避短。

《2021中國軟件供應(yīng)鏈安全分析報告》的發(fā)布，可謂正當(dāng)其時。奇安信代碼安全實驗室的專家成員團(tuán)隊，保障了這份報告的含金量。

團(tuán)體賽的征程

軟件供應(yīng)鏈安全問題是全球信息大國普遍面臨的問題。

歐美顯然從未停止尋找應(yīng)對之法，美國在2009年發(fā)布《美國網(wǎng)絡(luò)安全空間安全政策評估報告》，將ICT供應(yīng)鏈安全提高到國家戰(zhàn)略層面。

美國各大巨頭也十分重視軟件供應(yīng)鏈安全并付諸行動。

比如微軟曾于2002年1月發(fā)起了微軟可信計算計劃，推出微軟安全開發(fā)生命周期，使安全成為設(shè)計、編碼、測試軟件產(chǎn)品的關(guān)鍵因素，并自主研制安全測試及分析自動化工具，明顯提升了微軟核心產(chǎn)品的安全性。

谷歌也高度重視軟件供應(yīng)鏈安全，建多支安全審計小組，研發(fā)分析檢測工具，對自研軟件和所采用的第三方構(gòu)件，特別是開源構(gòu)件進(jìn)行嚴(yán)格的安全審計。

除IT公司巨頭外，一些專業(yè)的安全公司和組織在供應(yīng)鏈安全事件的發(fā)現(xiàn)與防護(hù)方面也功不可沒。

中國正從網(wǎng)絡(luò)大國邁向網(wǎng)絡(luò)強國，但軟件供應(yīng)鏈安全推行力度遠(yuǎn)遠(yuǎn)不夠：

國家層面，缺少體系化的制度和相關(guān)政策予以支持；行業(yè)層面，對軟件供應(yīng)鏈安全技術(shù)研發(fā)的投入不夠；在社會層面，對軟件供應(yīng)鏈安全問題缺乏重視，未建立起相關(guān)工作機制。

一方面，數(shù)字化時代，無處不在的軟件成為支撐社會正常運轉(zhuǎn)的基本元素之一。另一方面，軟件供應(yīng)鏈已成為網(wǎng)絡(luò)空間、攻防對抗的焦點，直接影響基礎(chǔ)設(shè)施和重要信息系統(tǒng)的安全。

當(dāng)無論是物理空間還是網(wǎng)絡(luò)空間，都以供應(yīng)鏈連接，這種廣泛存在、體系龐大復(fù)雜且非常分散的供應(yīng)鏈，關(guān)系每一個人和世界上每一個角落，這項系統(tǒng)工程也需要長期、持續(xù)投入，更需要各個層面的團(tuán)體合作。雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。