2020年12月13日，全球最著名的網管軟件供應商SolarWinds遭遇高度復雜的供應鏈攻擊，包括美國關鍵基礎設施,、軍隊,、政府在內的18000+企業(yè)客戶，可任由攻擊者完全操控,，這件事再度敲響了軟件供應鏈安全的警鐘。

　　“‘企業(yè)自主開發(fā)代碼缺陷密度達10.13個/千行’、‘開源項目源代碼缺陷密度達14.22個/千行’,、‘存在開源軟件漏洞的項目占比達77.5%’……這一個個數據的背后，無不透露出軟件供應鏈存在著巨大的安全隱患,?！?/p>

　　軟件供應鏈面臨巨大安全危機

　　為應對軟件供應鏈安全挑戰(zhàn)，5月12日,，美國總統(tǒng)拜登簽署了“加強國家網絡安全的行政命令”,，明確提出要加強軟件供應鏈安全，要求向聯邦政府出售軟件的任何企業(yè)不僅提供應用程序,，而且還必須提供軟件物料清單 （即軟件的各項組件）,。

　　從近幾年的網絡攻擊趨勢來看，軟件（包括固件）尤其是較為流行的軟件供應鏈,，正在成為黑客實施供應鏈攻擊的重要突破口,，而且此類攻擊往往能夠“突破一點，打擊一片”,，危害性極大,，甚至很多網絡安全軟件自身都存在供應鏈風險。

　　“軟件供應鏈可劃分為開發(fā),、交付,、運行三個大的環(huán)節(jié)，每個環(huán)節(jié)都可能會引入供應鏈安全風險從而遭受攻擊,，上游環(huán)節(jié)的安全問題會傳遞到下游環(huán)節(jié)并被放大,。”

　　開源軟件的源代碼缺陷則更加密集,。開軟項目的缺陷密度達到了14.22個/千行,，其中高危缺陷密度則為0.72個/千行,。眾所周知，開源軟件是軟件開發(fā)最基礎的原材料,，位于軟件供應鏈的源頭,，且應用及其廣泛。其自身的安全狀況,，直接影響最終軟件的安全性,。

　　近8成軟件項目引入了開源軟件漏洞

　　針對2188個企業(yè)軟件項目的檢測結果顯示，所有軟件項目均使用了開源軟件,，平均每個項目使用開源軟件數量達135個,；其中被使用最多的開源軟件出現在了581個項目中，滲透率達到了26.6%,。

　　在所有被檢測的項目中,，平均每個項目存在52.5個開源軟件漏洞。其中,，存在開源軟件漏洞的項目1695個,，占比77.5%；存在高危開源軟件漏洞的項目1559個,，占比71.3%,；存在超危開源軟件漏洞的項目1319個,，占比60.3%,。

　　值得關注的是，影響面最大的開源軟件漏洞（Spring FrameWork漏洞）出現在973個項目中,，滲透率高達44.5%,。這也就是說，一旦該漏洞被攻擊者利用,，將影響近半數的企業(yè)軟件,，波及的企業(yè)數量更加不計其數。

　　與此同時,，攝像頭,、路由器等智能聯網設備也未能幸免，針對聯網設備固件中引用的開源軟件及其漏洞進行分析,。86.4%的設備的最新固件存在至少一個老舊開源軟件漏洞,，漏洞最多的固件存在74個老舊開源軟件漏洞。更有甚者,，2014年曝出的“心臟滴血”漏洞,，仍然存在于5.3%的最新設備中。

　　供應鏈安全應成為數字化的底板

　　在當前軟件供應鏈安全基礎較薄弱的形勢下,，軟件供應鏈安全應成為信息系統(tǒng)安全的底板工程,，亟需建立安全與軟件供應鏈全生命周期深度融合,、全面覆蓋的安全體系，來保障軟件從開發(fā),、交付到運行的全過程,、全生命周期安全。

　　其中,，針對軟件成分及其風險的分析,，是軟件供應鏈安全的基礎和關鍵部分，建議作為軟件供應鏈安全工作開展的首要事,。用戶在采購商業(yè)貨架軟件,、自行開發(fā)軟件系統(tǒng)或委托第三方定制開發(fā)軟件系統(tǒng)時，應對軟件源代碼,、二進制代碼中所包含的開源軟件成分及其安全風險進行充分的了解,，形成開源軟件成分清單，并持續(xù)跟蹤這些開源軟件的安全風險情報,。