奇安信专家：近八成软件存开源漏洞 供应链需全生命周期安全防护

 聚焦源代码安全，网罗国内外最新资讯！

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

2020年12月13日，全球最著名的网管软件供应商SolarWinds遭遇高度复杂的供应链攻击，包括美国关键基础设施、军队、政府在内的18000+企业客户，可任由攻击者完全操控，这件事再度敲响了软件供应链安全的警钟。

“‘企业自主开发代码缺陷密度达10.13个/千行’、‘开源项目源代码缺陷密度达14.22个/千行’、‘存在开源软件漏洞的项目占比达77.5%’……这一个个数据的背后，无不透露出软件供应链存在着巨大的安全隐患。” 

在5月20日举办的2021 IT市场年会网络安全高峰论坛上，奇安信集团代码安全事业部总经理黄永刚分享了软件供应链安全的现状。

软件供应链面临巨大安全危机

为应对软件供应链安全挑战，5月12日，美国总统拜登签署了“加强国家网络安全的行政命令”，明确提出要加强软件供应链安全，要求向联邦政府出售软件的任何企业不仅提供应用程序，而且还必须提供软件物料清单 (即软件的各项组件)。

从近几年的网络攻击趋势来看，软件（包括固件）尤其是较为流行的软件供应链，正在成为黑客实施供应链攻击的重要突破口，而且此类攻击往往能够“突破一点，打击一片”，危害性极大，甚至很多网络安全软件自身都存在供应链风险。

黄永刚表示：“软件供应链可划分为开发、交付、运行三个大的环节，每个环节都可能会引入供应链安全风险从而遭受攻击，上游环节的安全问题会传递到下游环节并被放大。”

据黄永刚介绍，从2015年开始，奇安信代码安全实验室依托代码卫士和开源卫士领先的源代码的检测能力，针对企业自主开发代码、开源软件源代码、多款应用广泛的商业软件等，发起了多项安全检测计划，全面展示了软件供应链安全的全貌。

截至目前，奇安信代码卫士检测了近2000个企业级软件开发项目、3亿+行源代码，共发现跨站脚本XSS、SQL注入等各类安全缺陷3374688个，整体缺陷密度达到10.13个/千行。其中高危安全缺陷360921个，整体高危缺陷密度达到1.08个/千行。

开源软件的源代码缺陷则更加密集。据“奇安信开源项目检测计划”的检测结果显示，开软项目的缺陷密度达到了14.22个/千行，其中高危缺陷密度则为0.72个/千行。众所周知，开源软件是软件开发最基础的原材料，位于软件供应链的源头，且应用及其广泛。其自身的安全状况，直接影响最终软件的安全性。

近8成软件项目引入了开源软件漏洞

奇安信开源卫士针对2188个企业软件项目的检测结果显示，所有软件项目均使用了开源软件，平均每个项目使用开源软件数量达135个；其中被使用最多的开源软件出现在了581个项目中，渗透率达到了26.6%。

在所有被检测的项目中，奇安信开源卫士共检出开源漏洞114862个，平均每个项目存在52.5个开源软件漏洞。其中，存在开源软件漏洞的项目1695个，占比77.5%；存在高危开源软件漏洞的项目1559个，占比71.3%；存在超危开源软件漏洞的项目1319个，占比60.3%。

值得关注的是，影响面最大的开源软件漏洞（Spring FrameWork漏洞）出现在973个项目中，渗透率高达44.5%。这也就是说，一旦该漏洞被攻击者利用，将影响近半数的企业软件，波及的企业数量更加不计其数。

与此同时，摄像头、路由器等智能联网设备也未能幸免。2019年初，奇安信发起了固件安全检测计划，针对联网设备固件中引用的开源软件及其漏洞进行分析。

据奇安信固件卫士的检测结果显示，86.4%的设备的最新固件存在至少一个老旧开源软件漏洞，漏洞最多的固件存在74个老旧开源软件漏洞。更有甚者，2014年曝出的“心脏滴血”漏洞，仍然存在于5.3%的最新设备中。

供应链安全应成为数字化的底板

面对上述严峻的挑战，黄永刚强调，在当前软件供应链安全基础较薄弱的形势下，软件供应链安全应成为信息系统安全的底板工程，亟需建立安全与软件供应链全生命周期深度融合、全面覆盖的安全体系，来保障软件从开发、交付到运行的全过程、全生命周期安全。

其中，针对软件成分及其风险的分析，是软件供应链安全的基础和关键部分，建议作为软件供应链安全工作开展的首要事。用户在采购商业货架软件、自行开发软件系统或委托第三方定制开发软件系统时，应对软件源代码、二进制代码中所包含的开源软件成分及其安全风险进行充分的了解，形成开源软件成分清单，并持续跟踪这些开源软件的安全风险情报。

对此，奇安信依托代码卫士、开源卫士以及固件卫士三大代码安全产品，可以针对软件源代码、二进制代码、安装包、安装目录、运行态程序、固件、容器镜像等软件全生命期、各种形态的软件进行供应链安全检测和分析，帮助客户尽早发现和规避软件供应链安全风险，为数字化转型保驾护航。

推荐阅读

Codecov后门事件验证分析

微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析

速修复！热门npm 库 netmask 被曝严重的软件供应链漏洞，已存在9年

SolarWinds 供应链事件后，美国考虑实施软件安全评级和标准机制

找到软件供应链的薄弱链条

GitHub谈软件供应链安全及其重要性

揭秘新的供应链攻击：一研究员靠它成功入侵微软、苹果等 35 家科技公司

谷歌Linux基金会等联合推出开源软件签名服务 sigstore，提振软件供应链安全

Linus Torvalds 警告：勿用 Linux 5.12 rc1，担心供应链攻击？

微软和火眼又分别发现SolarWinds 供应链攻击的新后门

找到恶意软件包：Go 语言生态系统中的供应链攻击是怎样的？

拜登签署行政令，要求保护美国关键供应链（含信息技术）的安全

坐火车太无聊，我溜入微软 VS Code官方GitHub仓库，但没敢发动供应链攻击

SolarWinds 供应链攻击中的第四款恶意软件及其它动态

OpenWRT开源项目论坛遭未授权访问，可被用于供应链攻击

FireEye事件新动态：APT 攻击 SolarWinds 全球供应链（详解）

FireEye 红队失窃工具大揭秘之：分析复现SolarWinds RCE 0day (CVE-2020-10148)

FireEye红队失窃工具大揭秘之：分析复现Zoho ManageEngine RCE (CVE-2020-10189)

FireEye 红队失窃工具大揭秘之：分析复现 Zoho 任意文件上传漏洞(CVE-2020-8394)

FireEye 红队失窃工具大揭秘之：分析复现 Confluence路径穿越漏洞 (CVE-2019-3398)

FireEye 红队失窃工具大揭秘之：分析复现 Atlassian RCE (CVE-2019-11580)

Ripple 20：严重漏洞影响全球数十亿IoT设备，复杂软件供应链使修复难上加难

被后爹坑：开源 JavaScript 库沦为摇钱树

速修复！开源企业自动化软件 Apache OFBiz 出现严重的 RCE 漏洞

谷歌提出治理开源软件漏洞的新框架：知悉、预防、修复

开源软件漏洞安全风险分析

开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析

集结30+漏洞 exploit，Gitpaste-12 蠕虫影响 Linux 和开源组件等

题图：Pixabay License

奇安信代码卫士原创出品。转载请注明 “转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~