信息化觀察網(wǎng)

近日發(fā)布的《2021年中國(guó)軟件供應(yīng)鏈安全綜合分析報(bào)告》，對(duì)2557個(gè)國(guó)內(nèi)企業(yè)軟件源代碼進(jìn)行分析發(fā)現(xiàn)：近九成軟件存在漏洞，平均每千行代碼中有10個(gè)缺陷，而高危缺陷密度為每千行1.08個(gè)。

九成軟件存在已知漏洞

分析報(bào)告發(fā)現(xiàn)，在2557個(gè)國(guó)內(nèi)企業(yè)軟件項(xiàng)目中，存在已知開(kāi)源軟件漏洞的項(xiàng)目有2280個(gè)，占比高達(dá)89.2%；存在已知高危開(kāi)源軟件漏洞的項(xiàng)目有2062個(gè)，占比為80.6%；存在已知超危開(kāi)源軟件漏洞的項(xiàng)目有1802個(gè)，占比為70.5%。

軟件供應(yīng)鏈隱含巨大的安全隱患

同時(shí)分析報(bào)告顯示，2557個(gè)國(guó)內(nèi)企業(yè)軟件項(xiàng)目均使用了開(kāi)源軟件。由于開(kāi)源軟件之間的依賴(lài)關(guān)系錯(cuò)綜復(fù)雜，當(dāng)某個(gè)開(kāi)源軟件曝出安全漏洞時(shí)，軟件開(kāi)發(fā)者往往不自知，這中間就隱含了巨大的軟件供應(yīng)鏈安全風(fēng)險(xiǎn)。

超過(guò)15年的古老漏洞仍然存在

分析發(fā)現(xiàn)，部分軟件項(xiàng)目中存在十幾年前公開(kāi)的古老開(kāi)源軟件漏洞，最古老的漏洞是2005年11月公開(kāi)的CVE-2005-3510，仍然存在于31個(gè)項(xiàng)目中。許多軟件項(xiàng)目中使用了十幾年前發(fā)布的開(kāi)源軟件版本，存在很大的運(yùn)維風(fēng)險(xiǎn)。被使用的老舊開(kāi)源軟件版本中，最老舊的一個(gè)是2003年3月3日發(fā)布的Apache Xalan 2.5.D1，已經(jīng)有18年之久。

據(jù)商務(wù)密郵了解，國(guó)內(nèi)很多機(jī)關(guān)單位郵件系統(tǒng)版本老舊，長(zhǎng)期無(wú)維護(hù)，安全管理缺失等客觀因素，非常容易成為被攻擊的目標(biāo)，類(lèi)似的辦公系統(tǒng)安全隱患重重，使得不法分子有機(jī)可乘。

軟件安全、數(shù)據(jù)安全已經(jīng)成為網(wǎng)絡(luò)空間攻防對(duì)抗的焦點(diǎn)，這將直接影響關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)的安全。

商務(wù)密郵建議：政企機(jī)構(gòu)重點(diǎn)管控開(kāi)源軟件的使用，持續(xù)監(jiān)測(cè)和降低開(kāi)源軟件的安全風(fēng)險(xiǎn)。盡可能使用國(guó)內(nèi)安全機(jī)構(gòu)全知識(shí)產(chǎn)權(quán)，自主研發(fā)的軟件系統(tǒng)。

自行開(kāi)發(fā)軟件系統(tǒng)或委托第三方定制開(kāi)發(fā)軟件系統(tǒng)時(shí)，應(yīng)遵循軟件安全開(kāi)發(fā)生命周期管理流程，定期對(duì)軟件源代碼進(jìn)行安全缺陷檢測(cè)和修復(fù)，建立完善的產(chǎn)品維護(hù)機(jī)制，及時(shí)發(fā)現(xiàn)和修補(bǔ)漏洞。