近一年，軟件供應(yīng)鏈安全領(lǐng)域演繹了一曲曲冰與火之歌。

一曲是重金屬搖滾：黑客的攻擊殺傷力不減，密集度遞增。

一曲是婉轉(zhuǎn)憂思：軟件供應(yīng)鏈安全，各國(guó)不同領(lǐng)域心有戚戚。

SolarWinds的APT攻擊、35家大型科技公司的依賴混淆攻擊、互聯(lián)網(wǎng)使用率達(dá)79.2%的PHP攻擊、Codecov供應(yīng)鏈攻擊。

上到專業(yè)的網(wǎng)絡(luò)安全軟件產(chǎn)品供應(yīng)商，下到微軟、蘋(píng)果、Paypal、特斯拉等科技巨頭，皆中招。

近半年，軟件供應(yīng)鏈攻擊幾乎在每個(gè)月爆發(fā)，越來(lái)越復(fù)雜的軟件開(kāi)發(fā)工具鏈下，未來(lái)的攻擊會(huì)更多。

在這種背景下，6月2日，奇安信集團(tuán)發(fā)布《2021中國(guó)軟件供應(yīng)鏈安全分析報(bào)告》，對(duì)國(guó)內(nèi)軟件供應(yīng)鏈各個(gè)環(huán)節(jié)的安全風(fēng)險(xiǎn)，進(jìn)行了深入細(xì)致的研究和解讀。

這份報(bào)告，來(lái)得恰逢其時(shí)。

它關(guān)乎每個(gè)人的生命安全、財(cái)產(chǎn)安全，關(guān)乎國(guó)家、社會(huì)不同層面安全。

軟件供應(yīng)鏈安全，我們不再陌生，也不應(yīng)該陌生。

擊一發(fā)而連全身

"吃了不好的食品會(huì)生病，用了不好的軟件會(huì)被攻擊。"

奇安信集團(tuán)代碼安全事業(yè)部總經(jīng)理、代碼安全實(shí)驗(yàn)室主任黃永剛的這個(gè)例子非常形象。

"牛奶從奶農(nóng)、奶站到車間，各個(gè)環(huán)節(jié)都可能導(dǎo)致原材料被污染，造成食品安全問(wèn)題。同樣，軟件供應(yīng)鏈可劃分為開(kāi)發(fā)、交付、運(yùn)行三個(gè)大的環(huán)節(jié)，每個(gè)環(huán)節(jié)都可能會(huì)引入供應(yīng)鏈安全風(fēng)險(xiǎn)從而遭受攻擊，上游環(huán)節(jié)的安全問(wèn)題會(huì)傳遞到下游環(huán)節(jié)并被放大。"

奇安信集團(tuán)代碼安全事業(yè)部總經(jīng)理、代碼安全實(shí)驗(yàn)室主任黃永剛

如果細(xì)化整個(gè)過(guò)程，軟件供應(yīng)鏈涉及規(guī)劃設(shè)計(jì)、開(kāi)發(fā)集成、分發(fā)部署、運(yùn)行維護(hù)、升級(jí)修復(fù)等等環(huán)節(jié)。

換言之，能夠影響軟件交付的一切因素和環(huán)節(jié)，都在軟件供應(yīng)鏈范圍之內(nèi)，當(dāng)然，也在黑客攻擊范圍內(nèi)。

黑客只需要在以上龐大的軟件供應(yīng)鏈基礎(chǔ)設(shè)施中任一環(huán)節(jié)，通過(guò)人或系統(tǒng)的漏洞乘虛而入，并沿著供應(yīng)鏈向后滲透，植入惡意程序或代碼，或進(jìn)行小規(guī)模的隱形攻擊，或長(zhǎng)期潛伏在目標(biāo)系統(tǒng)中，就能如抽積木般，對(duì)整個(gè)計(jì)算機(jī)系統(tǒng)造成損害。

軟件供應(yīng)鏈攻擊并非新興事物。

早在1984年，圖靈獎(jiǎng)獲得者、UNIX和C語(yǔ)言的發(fā)明人肯·湯普森（Ken Thompson）在其著名的《Reflections On Trusting Trust》中就討論過(guò)這種攻擊。

當(dāng)今這個(gè)開(kāi)源代碼、開(kāi)源軟件無(wú)處不在的世界，也成為軟件供應(yīng)鏈攻擊的盛宴，黑客的狂歡。

軟件供應(yīng)鏈安全中，很大一部分風(fēng)險(xiǎn)來(lái)自依賴關(guān)系。

比如源代碼是軟件的原始形態(tài)，位于軟件供應(yīng)鏈的源頭，源代碼安全是軟件供應(yīng)鏈安全的基礎(chǔ)。

行業(yè)數(shù)據(jù)表明，99%的代碼庫(kù)中包含開(kāi)源代碼，85%至97%的企業(yè)代碼庫(kù)源自開(kāi)源代碼。

現(xiàn)代軟件的源代碼絕大多數(shù)是混源代碼，由企業(yè)自主開(kāi)發(fā)的源代碼和開(kāi)源軟件代碼共同組成，對(duì)源代碼的依賴程度極深。

對(duì)于第三方或開(kāi)源依賴關(guān)系中的漏洞，可能會(huì)在我們毫不知情的情況下成為惡意攻擊缺口。

供應(yīng)鏈中未修復(fù)的漏洞、無(wú)心之過(guò)或者對(duì)依賴關(guān)系的惡意攻擊，因無(wú)法自主控制，無(wú)時(shí)無(wú)刻都處于潛在威脅之中。

而在當(dāng)軟件研發(fā)從作坊式發(fā)展到規(guī)?；a(chǎn)模式時(shí)，軟件規(guī)模越來(lái)越大，程序邏輯越來(lái)越復(fù)雜，對(duì)軟件完整語(yǔ)義的理解及操作邏輯的把握越來(lái)越困難，設(shè)計(jì)缺陷、深層次漏洞更難以發(fā)現(xiàn)，后門更易于隱藏。

這些也使得軟件供應(yīng)鏈增添了"威脅對(duì)象種類多、極端隱蔽、涉及緯度廣、攻擊成本低回報(bào)高、檢測(cè)困難"等特性。

因此，當(dāng)軟件供應(yīng)鏈攻擊如覆巢出動(dòng)，舉目四望，損傷眾多。

2020年12月，網(wǎng)絡(luò)安全管理軟件供應(yīng)商SolarWinds遭遇國(guó)家級(jí)APT團(tuán)伙供應(yīng)鏈攻擊，導(dǎo)致包括美國(guó)關(guān)基、軍隊(duì)、政府在內(nèi)的18000多家客戶全部受到影響，成為年度最嚴(yán)重的供應(yīng)鏈安全事件。

此類攻擊并非孤例，甚至愈演愈烈。

2021年5月12日，美國(guó)總統(tǒng)拜登發(fā)布了旨在改進(jìn)美國(guó)網(wǎng)絡(luò)安全局勢(shì)的行政令。

這項(xiàng)行政令被稱為美國(guó)聯(lián)邦政府試圖保護(hù)美國(guó)軟件供應(yīng)鏈安全采取的最強(qiáng)勁措施。

其中有項(xiàng)史無(wú)前例的規(guī)定：

要求向聯(lián)邦政府出售軟件的任何企業(yè)不僅提供應(yīng)用程序，而且還必須提供軟件物料清單 (SBOM)，提供組成該應(yīng)用程序組件的透明度。

這意味著，關(guān)于組成軟件應(yīng)用的成分（組件）清單，比如包含的開(kāi)源和第三方的組件等信息都需在售賣給政府時(shí)提供。

另外，該行政令指示國(guó)防、公共衛(wèi)生、信息和通信技術(shù)、能源、交通以及農(nóng)產(chǎn)品和食品生產(chǎn)行業(yè)進(jìn)行供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估，并在一年內(nèi)提交商業(yè)/國(guó)土安全聯(lián)合報(bào)告。

當(dāng)惡意攻擊頻發(fā)，國(guó)外以政府之力推動(dòng)安全道路向前時(shí)，一直以來(lái)軟件供應(yīng)鏈基礎(chǔ)薄弱的中國(guó)，眼下具體形勢(shì)如何？

木舟之下，巨鯊已現(xiàn)

奇安信早就意識(shí)到軟件供應(yīng)鏈安全，以日進(jìn)一寸之力在該領(lǐng)域深耕多年。

奇安信代碼安全實(shí)驗(yàn)室此次發(fā)布的《2021年中國(guó)軟件供應(yīng)鏈安全綜合分析報(bào)告》，全面從開(kāi)源軟件生態(tài)發(fā)展?fàn)顩r、開(kāi)源軟件源代碼安全狀況、開(kāi)源軟件公開(kāi)報(bào)告漏洞狀況、開(kāi)源軟件活躍度狀況等四個(gè)方面對(duì)2020年開(kāi)源軟件生態(tài)發(fā)展與安全狀況進(jìn)行綜合分析。

揭開(kāi)面紗，直面中國(guó)軟件供應(yīng)鏈安全的真實(shí)面貌。

而以下內(nèi)容，是從業(yè)者理應(yīng)知曉的行業(yè)現(xiàn)況。

1、每1000行代碼就有超過(guò)10個(gè)安全缺陷。

報(bào)告顯示，2020年全年，2001個(gè)國(guó)內(nèi)企業(yè)自主開(kāi)發(fā)的軟件項(xiàng)目源代碼中，檢測(cè)的代碼總量為335011173行，共發(fā)現(xiàn)安全缺陷3387642個(gè)，其中高危缺陷361812個(gè)，整體缺陷密度為10.11個(gè)/千行，高危缺陷密度為1.08個(gè)/千行。

開(kāi)源軟件的安全缺陷則更加密集。2020年全年,1364個(gè)開(kāi)源軟件項(xiàng)目中，代碼總量為124296804行，共發(fā)現(xiàn)安全缺陷1859129個(gè)，其中高危缺陷117738個(gè)。2020年檢測(cè)的1364個(gè)開(kāi)源軟件項(xiàng)目整體缺陷密度為14.96個(gè)/千行，高危缺陷密度為0.95個(gè)/千行。

2、超8成項(xiàng)目存在高危開(kāi)源軟件漏洞。

與企業(yè)自主編寫(xiě)的源代碼相同，開(kāi)源軟件同樣位于軟件供應(yīng)鏈的源頭，且其源代碼絕大多數(shù)是混源代碼。

奇安信從兩個(gè)層面回答這個(gè)問(wèn)題：

一是國(guó)內(nèi)企業(yè)在軟件開(kāi)發(fā)中是否使用以及使用了多少開(kāi)源軟件？

二是其使用的開(kāi)源軟件是否存在安全問(wèn)題？

在奇安信代碼安全實(shí)驗(yàn)室分析的2557個(gè)國(guó)內(nèi)企業(yè)軟件項(xiàng)目中，應(yīng)用領(lǐng)域涉及政府、金融、能源等重要行業(yè)，無(wú)一例外，均使用了開(kāi)源軟件。

這100%的開(kāi)源軟件使用率，大大超出了軟件項(xiàng)目管理者和程序員自身的認(rèn)知。

要知道，由于開(kāi)源軟件之間的依賴關(guān)系錯(cuò)綜復(fù)雜，且軟件開(kāi)發(fā)中依賴包的管理通常通過(guò)包管理器程序自動(dòng)管理，軟件開(kāi)發(fā)者常常意識(shí)不到自己使用了數(shù)量巨大的開(kāi)源軟件，因此當(dāng)某個(gè)開(kāi)源軟件曝出安全漏洞時(shí)，軟件開(kāi)發(fā)者常常"躺槍"而不自知，這中間隱含了巨大的軟件供應(yīng)鏈安全風(fēng)險(xiǎn)。

而且流行的開(kāi)源軟件被近1/4的軟件項(xiàng)目使用，這些開(kāi)源軟件一旦出現(xiàn)安全漏洞，影響面甚廣。

在2557個(gè)國(guó)內(nèi)企業(yè)軟件項(xiàng)目中，共檢出168604個(gè)已知開(kāi)源軟件漏洞（涉及到4166個(gè)唯一CVE漏洞編號(hào)），平均每個(gè)軟件項(xiàng)目存在66個(gè)已知開(kāi)源軟件漏洞，最多的軟件項(xiàng)目存在1200個(gè)已知開(kāi)源軟件漏洞。

其中，存在已知開(kāi)源軟件漏洞的項(xiàng)目有2280個(gè)，占比高達(dá)89.2%；存在已知高危開(kāi)源軟件漏洞的項(xiàng)目有2062個(gè)，占比為80.6%；存在已知超危開(kāi)源軟件漏洞的項(xiàng)目有1802個(gè)，占比為70.5%。影響范圍最大的開(kāi)源軟件漏洞為Spring Framework中的安全漏洞（漏洞編號(hào)為CVE-2020-5421），影響了44.3%的軟件項(xiàng)目。

3、開(kāi)源軟件活躍度狀況堪憂。

活躍度也是衡量開(kāi)源軟件安全性的一個(gè)重要維度。

不活躍的開(kāi)源軟件，無(wú)論是更新頻率低或被廢棄，一旦出現(xiàn)安全漏洞，難以得到及時(shí)的修復(fù)，安全風(fēng)險(xiǎn)很高。

而活躍的開(kāi)源軟件中，如果其版本更新發(fā)布的頻率過(guò)高，同樣會(huì)增加使用者運(yùn)維的成本和安全風(fēng)險(xiǎn)。

報(bào)告發(fā)現(xiàn)，2020年，61.6%的開(kāi)源軟件項(xiàng)目處于不活躍狀態(tài)，13000多個(gè)開(kāi)源軟件一年內(nèi)更新發(fā)布超過(guò)100個(gè)版本。

4、18年前的老舊開(kāi)源軟件版本仍在被使用。

在開(kāi)源軟件運(yùn)維風(fēng)險(xiǎn)層面，報(bào)告發(fā)現(xiàn)，其中，甚至18年前的老舊開(kāi)源軟件版本仍在被使用，且不少項(xiàng)目已無(wú)人維護(hù)，各個(gè)項(xiàng)目中開(kāi)源軟件使用的版本非常混亂，標(biāo)準(zhǔn)、升級(jí)情況都不一。

與此同時(shí)，開(kāi)源軟件的漏洞數(shù)量仍呈高速上漲的趨勢(shì)。據(jù)奇安信代碼安全實(shí)驗(yàn)室監(jiān)測(cè)與統(tǒng)計(jì)，截至2020年底，CVE/NVD、CNNVD、CNVD等公開(kāi)漏洞庫(kù)中共收錄開(kāi)源軟件相關(guān)漏洞41342個(gè)，其中5366個(gè)為2020年度新增漏洞。

行業(yè)所需之聲

軟件供應(yīng)鏈安全威脅無(wú)處不在，它們專業(yè)性高、隱蔽性強(qiáng)、范圍廣。

這些都讓網(wǎng)絡(luò)安全這個(gè)乍看并不性感的行業(yè)，不出圈則已，一出圈即是影響甚廣的大事件。

萬(wàn)物互聯(lián)的今天，縱橫交錯(cuò)的市場(chǎng)，已沒(méi)有企業(yè)可獨(dú)善其身。行業(yè)需要更多的聲音、更大的力度，讓行業(yè)內(nèi)外意識(shí)到安全之重、之要。

撰寫(xiě)此次報(bào)告的代碼安全實(shí)驗(yàn)室，是奇安信旗下專注于軟件源代碼安全分析技術(shù)、二進(jìn)制漏洞挖掘技術(shù)研究與開(kāi)發(fā)的團(tuán)隊(duì)，在行業(yè)具有多年的積累。

代碼實(shí)驗(yàn)室曾多次向國(guó)家信息安全漏洞庫(kù) (CNNVD) 和國(guó)家信息安全漏洞共享平臺(tái)(CNVD) 報(bào)送原創(chuàng)通用型漏洞信息并獲得表彰，也曾發(fā)現(xiàn)谷歌、微軟、蘋(píng)果、Oracle、Juniper、Adobe、Vmware、阿里云、華為、騰訊、滴滴等大型廠商和機(jī)構(gòu)的數(shù)百個(gè)安全缺陷和漏洞，并獲官方致謝和能力肯定。

在團(tuán)隊(duì)實(shí)力方面， 國(guó)家信息安全漏洞庫(kù)（CNNVD）特聘專家一名，多名成員入選微軟全球TOP安全研究者、Oracle安全縱深防御計(jì)劃貢獻(xiàn)者等精英榜單。在Pwn2Own 2017世界黑客大賽上，實(shí)驗(yàn)室成員還曾獲得Master of Pwn破解大師冠軍稱號(hào)。

專業(yè)實(shí)力與時(shí)間磨礪下，這份報(bào)告通過(guò)信息高度凝練，已然清晰地展示了中國(guó)在軟件供應(yīng)鏈安全方面的各種問(wèn)題：

基礎(chǔ)薄弱、意識(shí)不足、開(kāi)源漏洞風(fēng)險(xiǎn)、開(kāi)源軟件運(yùn)維風(fēng)險(xiǎn)、活躍度狀況......

在軟件供應(yīng)鏈安全潛在威脅之下，企業(yè)需要這樣一份報(bào)告判斷軟件供應(yīng)鏈安全的現(xiàn)狀，了解潛在的市場(chǎng)風(fēng)險(xiǎn)，以此制定相關(guān)的戰(zhàn)略規(guī)劃。

投資機(jī)構(gòu)，需要一份專業(yè)的研報(bào)，作為判斷行業(yè)是否進(jìn)入有價(jià)值的參考之一。

安全領(lǐng)域創(chuàng)業(yè)者，需要一份研究報(bào)告認(rèn)識(shí)到自己的優(yōu)劣勢(shì)，改善資源配置，揚(yáng)長(zhǎng)避短。

《2021中國(guó)軟件供應(yīng)鏈安全分析報(bào)告》的發(fā)布，可謂正當(dāng)其時(shí)。奇安信代碼安全實(shí)驗(yàn)室的專家成員團(tuán)隊(duì)，保障了這份報(bào)告的含金量。

團(tuán)體賽的征程

軟件供應(yīng)鏈安全問(wèn)題是全球信息大國(guó)普遍面臨的問(wèn)題。

歐美顯然從未停止尋找應(yīng)對(duì)之法，美國(guó)在2009年發(fā)布《美國(guó)網(wǎng)絡(luò)安全空間安全政策評(píng)估報(bào)告》，將ICT供應(yīng)鏈安全提高到國(guó)家戰(zhàn)略層面。

美國(guó)各大巨頭也十分重視軟件供應(yīng)鏈安全并付諸行動(dòng)。

比如微軟曾于2002年1月發(fā)起了微軟可信計(jì)算計(jì)劃，推出微軟安全開(kāi)發(fā)生命周期，使安全成為設(shè)計(jì)、編碼、測(cè)試軟件產(chǎn)品的關(guān)鍵因素，并自主研制安全測(cè)試及分析自動(dòng)化工具，明顯提升了微軟核心產(chǎn)品的安全性。

谷歌也高度重視軟件供應(yīng)鏈安全，建多支安全審計(jì)小組，研發(fā)分析檢測(cè)工具，對(duì)自研軟件和所采用的第三方構(gòu)件，特別是開(kāi)源構(gòu)件進(jìn)行嚴(yán)格的安全審計(jì)。

除IT公司巨頭外，一些專業(yè)的安全公司和組織在供應(yīng)鏈安全事件的發(fā)現(xiàn)與防護(hù)方面也功不可沒(méi)。

中國(guó)正從網(wǎng)絡(luò)大國(guó)邁向網(wǎng)絡(luò)強(qiáng)國(guó)，但軟件供應(yīng)鏈安全推行力度遠(yuǎn)遠(yuǎn)不夠：

國(guó)家層面，缺少體系化的制度和相關(guān)政策予以支持；行業(yè)層面，對(duì)軟件供應(yīng)鏈安全技術(shù)研發(fā)的投入不夠；在社會(huì)層面，對(duì)軟件供應(yīng)鏈安全問(wèn)題缺乏重視，未建立起相關(guān)工作機(jī)制。

一方面，數(shù)字化時(shí)代，無(wú)處不在的軟件成為支撐社會(huì)正常運(yùn)轉(zhuǎn)的基本元素之一。另一方面，軟件供應(yīng)鏈已成為網(wǎng)絡(luò)空間、攻防對(duì)抗的焦點(diǎn)，直接影響基礎(chǔ)設(shè)施和重要信息系統(tǒng)的安全。

當(dāng)無(wú)論是物理空間還是網(wǎng)絡(luò)空間，都以供應(yīng)鏈連接，這種廣泛存在、體系龐大復(fù)雜且非常分散的供應(yīng)鏈，關(guān)系每一個(gè)人和世界上每一個(gè)角落，這項(xiàng)系統(tǒng)工程也需要長(zhǎng)期、持續(xù)投入，更需要各個(gè)層面的團(tuán)體合作。雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。