6月2日,奇安信集团正式发布《2021年中国软件供应链安全分析报告》(以下简称《报告》)。《报告》强调,15年前的开源软件漏洞仍然存在于多个软件项目中,18年前的老旧开源软件版本仍在被使用,这些十几年前就存在的“高龄”开源软件带来了巨大的安全风险。
图:奇安信集团代码安全事业部总经理、代码安全实验室主任黄永刚
作为国内首次全面解读软件供应链各环节安全风险的分析报告,报告内容聚焦了开源软件多维度安全状况分析、国内企业软件中开源软件的应用状况,并提供总结及建议,为相关单位开展软件供应链安全研究和实践工作提供借鉴和参考。
《报告》显示,2020年全年,奇安信代码安全实验室对2557个国内企业软件项目中使用开源软件的情况进行了分析,应用领域涉及政府、金融、能源等重要行业。分析发现,国内企业在软件开发中普遍使用存在已知漏洞的开源软件,存在巨大的软件供应链安全风险。
从开源软件漏洞风险层面来看,《报告》数据表明,国内企业软件项目使用开源软件的概率达到100%。其中,部分软件项目中存在十几年前公开的开源软件漏洞,最古老的漏洞是2005年11月公开的CVE-2005-3510,仍然存在于31个项目中。
图:部分古老开源软件漏洞的影响情况
从开源软件运维风险角度分析发现,老旧开源软件版本同样存在重大安全隐患。《报告》显示,许多软件项目中使用了十几年前发布的开源软件版本,最老旧的一个是2003年3月3日发布的Apache Xalan 2.5.D1,距今已经有18年之久,但仍然被7个软件项目所使用。
图:按老旧程度排名前5的开源软件情况
此外,《报告》还列举了国内某主流OA系统、国内某流行Windows桌面软件、某国产网络设备固件等典型的软件供应链安全风险实例进行详细分析。《报告》认为,国内企业软件开发广泛使用开源软件,但开源软件本身的安全状况不容乐观,尤其是这些“高龄”的开源软件漏洞、开源软件版本,让软件供应链开发、交付和运行各环节都可能成为攻击落脚点。
奇安信集团代码安全事业部总经理、代码安全实验室主任黄永刚表示:“近年来,针对软件供应链的网络攻击事件和造成的危害与日俱增,但我国与之相对应的安全防护、处置响应水平却相对薄弱,系统性的研究软件供应链安全,防范软件供应链安全风险,已经迫在眉睫。”