图灵汇官网

2024年8月12日，奇安信集团发布了关于中国软件供应链安全状态的详尽分析报告。报告揭示，中国本土企业在软件项目的构建过程中广泛采纳开源软件，应用普及度达到全数百分比。尽管如此，开源软件的安全隐患问题依然严重，一些历史可追溯至二十年前的漏洞仍在多款项目中被发现。

该报告着重指出，为应对这一挑战，必须强化软件供应链安全的战略规划，并持续执行相应的防护措施。通过对2023年中国企业自主研发的源代码进行深入研究，报告指出，虽然整体缺陷数量有所增加，但高风险缺陷的数量则呈现下降趋势。这一转变得益于企业对关键问题的高度关注，以及安全编程准则和代码审查工具的广泛应用。

然而，报告也警告，企业在使用开源软件时所面临的潜在安全威胁不容忽视。统计显示，所有项目均采用了开源软件，平均每项项目使用了166个开源组件，而平均每个项目存在83个已知漏洞，其中高达68.1%的项目包含了易于被利用的漏洞。

尽管软件供应链的安全状况有所改善，但相关指标仍维持在较高水平，表明当前的安全问题仍未得到彻底解决。报告强调，越来越多的公司和机构正开始重视并实施软件供应链安全策略，一些基于标准化流程和实践的解决方案及监测平台已经得到了应用。不过，这些措施、方法和工具仍需进一步优化和完善，并扩大其普及范围。

特别值得关注的是，报告强调了提升软件供应链安全顶层规划的重要性。欧美国家在软件供应链安全领域已取得显著成就，通过制定、修订政策、框架、指导原则及最佳实践，已进入执行监管阶段。例如，美国依据OMB备忘录和SSDF框架，要求软件制造供应商证明其实施特定安全措施的情况，并设立了软件验证和工件存储库。

在中国，软件供应链安全保护工作正在稳步前进。一方面，顶层规定持续更新，包括《软件供应链安全要求》和《软件产品开源代码安全评估方法》在内的国家标准已正式发布。另一方面，行业内部建设活跃，多个专业机构在软件供应链安全、开源软件管理及软件物料清单生成等方面开展能力建设。此外，国内多家网络安全公司和大企业已推出全面的软件供应链安全解决方案。

尽管如此，中国在软件供应链安全管理方面仍缺乏权威的实施指南。报告建议，应深化顶层设计，建立统一的软件供应链安全防护架构，完善国家级和行业级的测评认证体系，并建立健全关键软件供应商安全操作的备案制度，以确保软件供应链的整体安全性。