2022中国软件供应链安全分析报告

微信公众号：计算机与网络安全

▼

（全文略）

本报告是该系列年度分析报告的第二期，继续针对国内企业自主开发的源代码、开源软件生态、国内企业软件开发中开源软件应用等的安全状况，以及典型应用系统供应链安全风险实例进行深入分析，并总结趋势和变化。本年度报告相比于去年的报告新增了以下内容：在开源软件生态发展与安全部分新增了关键基础开源软件分析；在企业软件开发中的开源软件应用部分新增了漏洞利用难度的统计分析和开源许可协议风险分析；在典型软件供应链安全风险实例部分，重点分析了利用开源软件“老漏洞”攻破最新主流产品的实例，通过多个实例验证了由于软件供应链的复杂性，开源软件的“老漏洞”也可以起到“0day 漏洞”的攻击效果。

软件组成成分的透明性是软件供应链安全保障的基础，我们建议将软件物料清单（SBOM）作为软件供应链安全的抓手首先推进落地，通过软件物料清单（SBOM）的推广应用，牵引软件供应链上下游各个环节的协同，在此基础之上再采取更多举措逐步深化，实现软件供应链安全保障的目标。关于软件物料清单（SBOM）的推进落地，具体建议如下：

从国家与行业监管层面的建议：提高关键基础设施和重要信息系统用户软件供应链安全保障的要求，要求向关键基础设施和重要信息系统用户销售软件产品、提供软件定制开发的厂商和供应商，在交付软件系统的同时，需提供软件物料清单（SBOM），以保持足够的透明性；组织制定软件物料清单（SBOM）相关的国家标准、行业标准，规范针对软件物料清单（SBOM）的格式和内容要求，促进软件物料清单（SBOM）成为软件产品的标配；建立相应的公共服务平台，提供软件物料清单（SBOM）的检测验证、数据查询、威胁情报等服务。

从软件厂商和供应商层面的建议：在自身软件开发流程中采用开源安全治理工具，持续监测软件开发中所使用的开源软件物料，消减其安全风险；产品正式发布时，应提取和生成产品的软件物料清单（SBOM），并随软件向客户提供；针对自身软件产品中所使用的软件物料，持续监测其安全漏洞等风险情况，并及时为客户提供相应的技术支持服务。

从软件最终用户层面的建议：保持对软件物料透明性的高度关注，在购买软件产品或委托定制开发软件系统时，要求厂商和供应商提软件物料清单（SBOM），并与其签订安全责任协议，要求其对软件物料的安全性负责并提供后续的技术支持服务；对于运行重要业务的软件系统，应使用合适的检测工具验证厂商和供应商所提供的软件物料清单（SBOM）的正确性，确认软件的组成成分及安全风险状况；在软件系统日常运行过程中，应基于软件物料清单（SBOM）持续跟踪软件物料相关的威胁情报，及时采取安全措施，消减相关安全风险。

办理公众号VIP会员，在公众号会话窗口回复：VIP 可查看相关介绍。

▲
- The end -

来源：奇安信集团

原文始发于微信公众号（计算机与网络安全）：2022中国软件供应链安全分析报告