悬镜：2021软件供应链安全白皮书（54页）.pdf

《悬镜：2021软件供应链安全白皮书（54页）.pdf》由会员分享，可在线阅读，更多相关《悬镜：2021软件供应链安全白皮书（54页）.pdf（54页珍藏版）》请在三个皮匠报告上搜索。

1、目前，我国在国家信息建设中关键软件技术方面还无法实现完全自主研发可控，诸多核心行业的关键基础软件长期依赖进口，这为我国的软件供应链安全留下了难以估量的安全隐患。软件供应链上的任一环节出现问题，都有可能带来严重的安全风险，在国家关键基础设施中过度使用从国外引进的技术或软件产品，将加大我国软件供应链安全出现威胁的可能性，危害国家信息安全，同时也会给国家经济安全带来严重的隐患。“棱镜门”事件的发生让世界人民意识到：网络监听、远程控制、数据窃取等并不是危言耸听而是真实存在的。中国互联网新闻研究中心发布的报告美国全球监听行动记录显示，经过长达几个月的查证，中国发现美国的 “棱镜门”秘密项目中有针对中国机

2、密的监听行为，此次监听行动涉及中国政府和领导人、中资企业、科研机构等，给中国的信息安全带来严重的影响。除此之外，西方大国还借助其在 IT 领域的技术优势，在相关软硬件产品内预置后门，通过我国进口其软件产品将安全威胁带入国内，非法获取我国重要的信息数据。因此，长期依赖软件进口，将难以从软件生产的源头进行安全治理，会加剧我国软件供应链所面临的安全风险，影响我国推进软件供应链安全的进程，甚至会威胁到国家安全。开源软件的安全形势已愈发严重。根据 RiskSense 发布的研究报告得知，2019 年已公开的开源软件 CVE 漏洞总数为 968 个，比之前数量最高年份的两倍还多，2020 年前三个月新增的

3、 CVE 漏洞数量也处于历史高位。从美国国家漏洞库(NVD)对于开源软件的漏洞管理情况来看，其收录开源软件漏洞的滞后性比较严重，从漏洞首次公开披露到收录进 NVD 平均耗时 54 天，最长耗时 1817 天。攻击者完全有可能利用这段时间开发和部署漏洞利用程序，而正在使用存在漏洞开源软件的企业由于无法及时收到 NVD 的安全警报，企业将完全暴露在安全风险之中。2020 年 2 月，国家信息安全漏洞共享平台(CNVD)发布了关于 Apache Tomcat 存在文件包含安全漏洞的公告，该漏洞可以造成 Tomcat 上所有 webapp 目录下的重要配置文件或源代码等敏感数据的泄露，若同时存在文件上

4、传功能，则可能会进一步实现远程代码执行(RCE)，直接控制服务器。Tomcat 是 Apache 软件基金会下一个重要的开源软件，在全球范围内被广泛使用，根据调查数据显示，国内受影响采用 AJP 协议的 IP 数量大约是 4 万个。为了加快业务创新，应用开源技术提高开发效率已经成为企业的主流选择，但也导致企业对复杂的软件供应链的依赖日益增加。尽管开放源码组件具有许多优点，但它的广泛应用也带来了新的安全挑战，一方面由于开发者自身安全意识和技术水平不足容易产生软件安全漏洞，另一方面也无法避免恶意人员向开源软件注入木马程序进行软件供应链攻击等安全风险的存在。由于开源软件使用与获取的便利性，几乎每个商

5、业软件都会大量使用开源组件，但企业并没有对开源组件的来源和质量给予足够的重视，甚至会忽略掉软件组件所带来的安全风险。据 Sonatype 发布的2020 State of the Software Supply Chain报告数据显示，从 2012 年到 2018 年开发团队声称使用的 OSS 组件数量和实际审计出的 OSS 组件数量的差距逐渐加大(如图 7 所示)。企业在软件开发的过程中，对开源软件的使用比较随意，管理者通常不清楚开发团队在开发过程中是否有使用开源软件，具体使用了哪些开源软件，这些开源软件是否存在安全漏洞等，这无形中给软件供应链带来了难以预知的安全隐患，从而导致软件供应链攻击

6、呈现上升趋势。由于安全与敏捷开发往往呈对立关系，开发者为了提高效率，往往会忽视掉软件供应链的安全性，安全保障过程被孤立，实行“业务先行”的模式。然而，业务系统从设计、编码、测试到上线运行各个环节都有可能出现安全漏洞，给业务系统带来安全风险。业务系统中水平 / 垂直越权、批量注册、业务接口乱序调用等业务逻辑漏洞和第三方开源组件漏洞频发，高危的安全漏洞一旦被利用，可能会造成严重的信息泄露或系统中断问题。企业对软件供应链安全技术研发的投入远远不够，敏捷开发与快速迭代导致企业往往在加