2020年12月13日,,全球最著名的網(wǎng)管軟件供應(yīng)商SolarWinds遭遇高度復(fù)雜的供應(yīng)鏈攻擊,包括美國關(guān)鍵基礎(chǔ)設(shè)施,、軍隊,、政府在內(nèi)的18000+企業(yè)客戶,可任由攻擊者完全操控,,這件事再度敲響了軟件供應(yīng)鏈安全的警鐘,。
“‘企業(yè)自主開發(fā)代碼缺陷密度達(dá)10.13個/千行’、‘開源項(xiàng)目源代碼缺陷密度達(dá)14.22個/千行’,、‘存在開源軟件漏洞的項(xiàng)目占比達(dá)77.5%’……這一個個數(shù)據(jù)的背后,,無不透露出軟件供應(yīng)鏈存在著巨大的安全隱患?!?/p>
軟件供應(yīng)鏈面臨巨大安全危機(jī)
為應(yīng)對軟件供應(yīng)鏈安全挑戰(zhàn),,5月12日,美國總統(tǒng)拜登簽署了“加強(qiáng)國家網(wǎng)絡(luò)安全的行政命令”,,明確提出要加強(qiáng)軟件供應(yīng)鏈安全,,要求向聯(lián)邦政府出售軟件的任何企業(yè)不僅提供應(yīng)用程序,而且還必須提供軟件物料清單 (即軟件的各項(xiàng)組件)。
從近幾年的網(wǎng)絡(luò)攻擊趨勢來看,,軟件(包括固件)尤其是較為流行的軟件供應(yīng)鏈,,正在成為黑客實(shí)施供應(yīng)鏈攻擊的重要突破口,而且此類攻擊往往能夠“突破一點(diǎn),,打擊一片”,,危害性極大,甚至很多網(wǎng)絡(luò)安全軟件自身都存在供應(yīng)鏈風(fēng)險,。
“軟件供應(yīng)鏈可劃分為開發(fā),、交付、運(yùn)行三個大的環(huán)節(jié),,每個環(huán)節(jié)都可能會引入供應(yīng)鏈安全風(fēng)險從而遭受攻擊,,上游環(huán)節(jié)的安全問題會傳遞到下游環(huán)節(jié)并被放大?!?/p>
開源軟件的源代碼缺陷則更加密集,。開軟項(xiàng)目的缺陷密度達(dá)到了14.22個/千行,其中高危缺陷密度則為0.72個/千行,。眾所周知,,開源軟件是軟件開發(fā)最基礎(chǔ)的原材料,位于軟件供應(yīng)鏈的源頭,,且應(yīng)用及其廣泛,。其自身的安全狀況,直接影響最終軟件的安全性,。
近8成軟件項(xiàng)目引入了開源軟件漏洞
針對2188個企業(yè)軟件項(xiàng)目的檢測結(jié)果顯示,,所有軟件項(xiàng)目均使用了開源軟件,平均每個項(xiàng)目使用開源軟件數(shù)量達(dá)135個,;其中被使用最多的開源軟件出現(xiàn)在了581個項(xiàng)目中,,滲透率達(dá)到了26.6%。
在所有被檢測的項(xiàng)目中,,平均每個項(xiàng)目存在52.5個開源軟件漏洞,。其中,存在開源軟件漏洞的項(xiàng)目1695個,,占比77.5%,;存在高危開源軟件漏洞的項(xiàng)目1559個,占比71.3%,;存在超危開源軟件漏洞的項(xiàng)目1319個,,占比60.3%。
值得關(guān)注的是,,影響面最大的開源軟件漏洞(Spring FrameWork漏洞)出現(xiàn)在973個項(xiàng)目中,,滲透率高達(dá)44.5%,。這也就是說,一旦該漏洞被攻擊者利用,,將影響近半數(shù)的企業(yè)軟件,,波及的企業(yè)數(shù)量更加不計其數(shù)。
與此同時,,攝像頭,、路由器等智能聯(lián)網(wǎng)設(shè)備也未能幸免,針對聯(lián)網(wǎng)設(shè)備固件中引用的開源軟件及其漏洞進(jìn)行分析,。86.4%的設(shè)備的最新固件存在至少一個老舊開源軟件漏洞,,漏洞最多的固件存在74個老舊開源軟件漏洞。更有甚者,,2014年曝出的“心臟滴血”漏洞,仍然存在于5.3%的最新設(shè)備中,。
供應(yīng)鏈安全應(yīng)成為數(shù)字化的底板
在當(dāng)前軟件供應(yīng)鏈安全基礎(chǔ)較薄弱的形勢下,,軟件供應(yīng)鏈安全應(yīng)成為信息系統(tǒng)安全的底板工程,亟需建立安全與軟件供應(yīng)鏈全生命周期深度融合,、全面覆蓋的安全體系,,來保障軟件從開發(fā)、交付到運(yùn)行的全過程,、全生命周期安全,。
其中,針對軟件成分及其風(fēng)險的分析,,是軟件供應(yīng)鏈安全的基礎(chǔ)和關(guān)鍵部分,,建議作為軟件供應(yīng)鏈安全工作開展的首要事。用戶在采購商業(yè)貨架軟件,、自行開發(fā)軟件系統(tǒng)或委托第三方定制開發(fā)軟件系統(tǒng)時,,應(yīng)對軟件源代碼、二進(jìn)制代碼中所包含的開源軟件成分及其安全風(fēng)險進(jìn)行充分的了解,,形成開源軟件成分清單,,并持續(xù)跟蹤這些開源軟件的安全風(fēng)險情報。