请选择 进入手机版 | 继续访问电脑版

股票配资交流论坛

 找回密码
 立即注册
查看: 650|回复: 3

奇安信报告称软件供应链安全形势严峻

[复制链接]
发表于 2021-6-3 00:46:32 | 显示全部楼层 |阅读模式
  6月2日,奇安信发布《2021中国软件供应链安全分析报告》(下文简称《报告》)显示,检测国内2557个企业软件项目发现均使用了开源软件,超8成软件项目存在已知高危开源软件漏洞,平均每个软件项目存在66个已知开源软件漏洞,国内软件供应链安全形势严峻。

  “吃了不好的食品会生病,用了不好的软件会被攻击”,奇安信集团代码安全事业部总经理、代码安全实验室主任黄永刚举例称:“拿牛奶供应链来说,从奶农、奶站到车间,各个环节都可能导致原材料被污染,造成食品安全问题。同样,软件的供应链可划分为开发、交付、运行三个大的环节,每个环节都可能会引入供应链安全风险从而遭受攻击,上游环节的安全问题会传递到下游环节并被放大。”
  源代码是软件的原始形态,位于软件供应链的源头,源代码安全是软件供应链安全的基础。黄永刚介绍,2020年全年,奇安信代码安全实验室对2001个国内企业自主开发的软件项目源代码进行了安全缺陷检测,检测的代码总量为3.35亿行,共发现安全缺陷338.76万个,其中高危缺陷36.18万个,整体缺陷密度为10.11个/千行,高危缺陷密度为1.08个/千行。
  开源软件的安全缺陷则更加密集。黄永刚称,2020年全年,“奇安信开源项目检测计划”对1364个开源软件项目的源代码进行了安全检测,代码总量为1.24亿行,共发现安全缺陷185.91万个,其中高危缺陷11.77万个。2020年检测的1364个开源软件项目整体缺陷密度为14.96个/千行,高危缺陷密度为0.95个/千行。
  根据《报告》,奇安信代码安全实验室检测了2557个国内企业软件项目,均使用了开源软件,共检出16.86万个已知开源软件漏洞,平均每个软件项目存在66个已知开源软件漏洞,最多的软件项目存在1200个已知开源软件漏洞。存在已知开源软件漏洞的项目有2280个,占比高达89.2%;存在已知高危开源软件漏洞的项目有2062个,占比为80.6%;存在已知超危开源软件漏洞的项目有1802个,占比为70.5%。影响范围最大的开源软件漏洞为Spring Framework安全漏洞(漏洞编号为CVE-2020-5421),影响了44.3%的软件项目。
  《报告》认为,软件供应链已经成为网络空间攻防对抗的焦点,直接影响关键基础设施和重要信息系统安全。然而,目前我国在软件供应链安全方面的基础比较薄弱。对此,奇安信代码安全实验室建议,在国家和行业监管层面,制定软件供应链安全相关的政策要求、标准规范和实施指南,建立起国家级/行业级软件供应链安全风险分析平台,并且将软件供应链安全的相关工作纳入产品测评、系统测评等工作中。
  在最终用户层面,建议明确本单位内部软件供应链安全管理的目标和工作流程;在采购商业软件时,应充分评估供应商的安全能力,要求供应商提供其软件产品中所使用的第三方组件/开源组件的清单,一旦这些第三方组件/开源组件出现安全漏洞,要求供应商提供必要的技术支持;在软件开发中,须严格遵循软件安全开发生命周期管理流程。
  软件厂商则需要提高安全责任意识,建立清晰的软件供应链安全策略,严格管控上下游,持续削减自主开发的代码和开源软件所带来的安全风险,同时建立完善的产品漏洞响应机制,必要时为客户提供相应的技术支持。
(文章来源:中证网)
回复

使用道具 举报

发表于 2021-6-4 08:12:27 | 显示全部楼层
好好 学习了 确实不错
回复 支持 反对

使用道具 举报

发表于 2021-6-5 12:31:10 | 显示全部楼层
支持支持再支持
回复 支持 反对

使用道具 举报

发表于 7 天前 | 显示全部楼层
啥玩应呀
回复 支持 反对

使用道具 举报

广告合作|小黑屋|最火的股票配资交流社区平台!

GMT+8, 2021-6-14 23:20 , Processed in 0.124800 second(s), 24 queries , Gzip On.

Powered by gppzjllt.com Plus!

© 2019-2021 股票配资交流论坛 版权所有

快速回复 返回顶部 返回列表