8月12日,奇安信集团发布《2024中国软件供应链安全分析报告》。报告对1763个国内企业软件项目中使用开源软件的情况进行分析,分析结果显示开源软件使用率达100%,平均每个项目使用了166个开源软件,数量再创新高。另一方面,开源软件漏洞指标仍处于高位,软件供应链的安全问题并没有得到根本性的改善,平均每个项目存在83个已知开源软件漏洞,含有容易利用的开源软件漏洞的项目占比为68.1%,而存在超危级漏洞的项目占比为71.9%,软件供应链安全形势严峻。
随着国际软件供应链安全攻击频发,软件供应链安全已成为全球性的共同问题。美国、欧盟等发达国家和地区在信息技术供应链安全领域起步较早,已出台大量政策法规和标准以加强供应链安全管理。国内目前也在积极推进软件供应链安全相关的法规和标准建设,但在软件供应链安全方面的基础依然比较薄弱。开源网安认为,我们亟需从政府监管、上游企业、厂商、下游企业、用户等各个层面搭建一体化的软件供应链安全防护体系,提升安全意识和安全素养,建立风险预防、发现、分析、处置等综合能力。
在国家方面,应进一步制定软件供应链安全相关的法律、法规、规章制度、条例以及国家标准等,并联合各方力量携手建立城市级,甚至是省级、国家级的软件供应链安全态势感知平台与风险处置平台。同时,应将软件供应链安全建设的要求,纳入到政府体系内机构的相关部门的工作职责中去,加快推进上层设计建设。
在软件供应链安全厂商方面,首先,厂商应从更高层次考虑软件供应链安全,建立“大安全”的安全大局观,加强行业各方力量的合作。其次,应加快建立清晰、实用的软件供应链安全策略,不断提升产品质量,加强产品易用性,帮助用户持续降低软件供应链相关风险。最后,应建立及时的漏洞反馈与处置机制,同时建立一体化的客户服务网络。
在用户层面,政企单位内部应该建立清晰且明确的软件供应链安全管理目标、要求及流程,严格遵循软件安全开发生命周期管理流程,建立第三方供应商准入门槛与组件或软件选用的标准(如企业必须通过ISO27001认证,交付物必须提供软件物料清单等),建立常态化的、必要的网络安全意识培训等。