报告预览

悬镜：2021软件供应链安全白皮书（54页）.pdf

编号：51055

PDF 54页 7.91MB 下载积分：VIP专享

下载报告请您先登录！

悬镜：2021软件供应链安全白皮书（54页）.pdf

1、目前，我国在国家信息建设中关键软件技术方面还无法实现完全自主研发可控，诸多核心行业的关键基础软件长期依赖进口，这为我国的软件供应链安全留下了难以估量的安全隐患。软件供应链上的任一环节出现问题，都有可能带来严重的安全风险，在国家关键基础设施中过度使用从国外引进的技术或软件产品，将加大我国软件供应链安全出现威胁的可能性，危害国家信息安全，同时也会给国家经济安全带来严重的隐患。“棱镜门”事件的发生让世界人民意识到：网络监听、远程控制、数据窃取等并不是危言耸听而是真实存在的。中国互联网新闻研究中心发布的报告美国全球监听行动记录显示，经过长达几个月的查证，中国发现美国的 “棱镜门”秘密项目中有针对中国机

2、密的监听行为，此次监听行动涉及中国政府和领导人、中资企业、科研机构等，给中国的信息安全带来严重的影响。除此之外，西方大国还借助其在 IT 领域的技术优势，在相关软硬件产品内预置后门，通过我国进口其软件产品将安全威胁带入国内，非法获取我国重要的信息数据。因此，长期依赖软件进口，将难以从软件生产的源头进行安全治理，会加剧我国软件供应链所面临的安全风险，影响我国推进软件供应链安全的进程，甚至会威胁到国家安全。开源软件的安全形势已愈发严重。根据 RiskSense 发布的研究报告得知，2019 年已公开的开源软件 CVE 漏洞总数为 968 个，比之前数量最高年份的两倍还多，2020 年前三个月新增的

3、 CVE 漏洞数量也处于历史高位。从美国国家漏洞库(NVD)对于开源软件的漏洞管理情况来看，其收录开源软件漏洞的滞后性比较严重，从漏洞首次公开披露到收录进 NVD 平均耗时 54 天，最长耗时 1817 天。攻击者完全有可能利用这段时间开发和部署漏洞利用程序，而正在使用存在漏洞开源软件的企业由于无法及时收到 NVD 的安全警报，企业将完全暴露在安全风险之中。2020 年 2 月，国家信息安全漏洞共享平台(CNVD)发布了关于 Apache Tomcat 存在文件包含安全漏洞的公告，该漏洞可以造成 Tomcat 上所有 webapp 目录下的重要配置文件或源代码等敏感数据的泄露，若同时存在文件上

4、传功能，则可能会进一步实现远程代码执行(RCE)，直接控制服务器。Tomcat 是 Apache 软件基金会下一个重要的开源软件，在全球范围内被广泛使用，根据调查数据显示，国内受影响采用 AJP 协议的 IP 数量大约是 4 万个。为了加快业务创新，应用开源技术提高开发效率已经成为企业的主流选择，但也导致企业对复杂的软件供应链的依赖日益增加。尽管开放源码组件具有许多优点，但它的广泛应用也带来了新的安全挑战，一方面由于开发者自身安全意识和技术水平不足容易产生软件安全漏洞，另一方面也无法避免恶意人员向开源软件注入木马程序进行软件供应链攻击等安全风险的存在。由于开源软件使用与获取的便利性，几乎每个商

5、业软件都会大量使用开源组件，但企业并没有对开源组件的来源和质量给予足够的重视，甚至会忽略掉软件组件所带来的安全风险。据 Sonatype 发布的2020 State of the Software Supply Chain报告数据显示，从 2012 年到 2018 年开发团队声称使用的 OSS 组件数量和实际审计出的 OSS 组件数量的差距逐渐加大(如图 7 所示)。企业在软件开发的过程中，对开源软件的使用比较随意，管理者通常不清楚开发团队在开发过程中是否有使用开源软件，具体使用了哪些开源软件，这些开源软件是否存在安全漏洞等，这无形中给软件供应链带来了难以预知的安全隐患，从而导致软件供应链攻击

6、呈现上升趋势。由于安全与敏捷开发往往呈对立关系，开发者为了提高效率，往往会忽视掉软件供应链的安全性，安全保障过程被孤立，实行“业务先行”的模式。然而，业务系统从设计、编码、测试到上线运行各个环节都有可能出现安全漏洞，给业务系统带来安全风险。业务系统中水平 / 垂直越权、批量注册、业务接口乱序调用等业务逻辑漏洞和第三方开源组件漏洞频发，高危的安全漏洞一旦被利用，可能会造成严重的信息泄露或系统中断问题。企业对软件供应链安全技术研发的投入远远不够，敏捷开发与快速迭代导致企业往往在加快开发进度的同时忽略掉部分安全隐患和响应效率，来弥补开发过程中时间的匮乏。高速运转的敏捷开发运营模式将传统的安全工作甩在身后，仅在上线运行阶段开展安全风险控制工作，已无法防御由网络技术发展带来的各项安全威胁。企业软件供应链管理制度不完善，缺乏针对软件生产等重要环节的管控措施。企业软件供应链透明度不高，安全评估缺失，难以依据安全风险划分供应商的安全等级，从而进行针对性的安全管理。部分企业开源代码管理机制尚不完善，在软件开发过程中，随意使用开源组件的现象屡见不鲜，管理者和程序员无法列出完整的开源组件的使用列表，对软件供应链安全问题严重缺乏重视，给软件供应链管控带来极大的安全挑战。

友情提示

1、下载报告失败解决办法
2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。
3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。
4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

本文（悬镜：2021软件供应链安全白皮书（54页）.pdf）为本站（半声）主动上传，三个皮匠报告文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知三个皮匠报告文库（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。

上海品茶

悬镜：2021软件供应链安全白皮书（54页）.pdf

悬镜：2021软件供应链安全白皮书（54页）.pdf