開源軟件安全風險是當前軟件供應鏈安全的焦點問題

奇安信代碼安全實驗室通過數(shù)據(jù)對比分析發(fā)現(xiàn)，與前一年度相比， 國內企業(yè)自主開發(fā)源代碼的安全狀況有較明顯的改善，千行代碼缺陷 密度和十類典型安全缺陷的總體檢出率均有明顯下降，這應該得益于 軟件源代碼安全缺陷分析工具的持續(xù)應用,以及程序員編寫代碼時的 安全意識提高。但開源軟件安全風險仍然居高不下，開源軟件的安全 風險管控是當前軟件供應鏈安全保障需要解決的核心焦點問題。

1 國內企業(yè)自主開發(fā)源代碼安全性明顯改善 2021 年，國內企業(yè)自主開發(fā)源代碼的整體缺陷密度和高危缺陷 密度相比 2020 年均有所下降，其中高危缺陷密度下降較為明顯，從 1.08 個/千行降為 0.65 個/千行；十類典型安全缺陷的總體檢出率從 2020 年的 77.8%下降到 59.9%，下降了近 18%。

2 開源生態(tài)保持蓬勃發(fā)展，開源軟件自身安全問題更加嚴峻 2020 年底和 2021 年底，主流開源軟件包生態(tài)系統(tǒng)中開源項目總 4 量分別為 3814194 個和 4395386 個，一年間增長了 15.2%，開源生態(tài) 依然保持蓬勃發(fā)展的態(tài)勢。與此同時，開源軟件漏洞數(shù)量持續(xù)增長， 2021 年新增的開源軟件漏洞達到 6346 個；不活躍的開源項目占比從 去年報告的 61.6%提升至 69.9%。根據(jù)“奇安信開源項目檢測計劃” 的實測數(shù)據(jù)顯示，所檢測開源軟件的總體缺陷密度和高危缺陷密度略 高于去年，依然處于較高的水平；十類典型缺陷的總體檢出率為 73.5%， 遠高于去年的 56.3%。總體來看，開源軟件自身的安全問題日益嚴峻。

3 國內企業(yè)軟件開發(fā)中，開源軟件安全風險問題未見改善 2021 年，奇安信代碼安全實驗室對 3354 個國內企業(yè)軟件項目中 使用開源軟件的情況進行了分析，從數(shù)據(jù)分析情況來看，國內企業(yè)使 用開源軟件時的安全風險問題沒有得到改善，開源軟件安全風險是當 前企業(yè)軟件開發(fā)中亟待解決的首要問題。 在 2021 年分析的 3354 個軟件項目中，平均每個項目使用 127 個 開源軟件；存在已知開源軟件漏洞的項目占比 86.4%，平均每個項目 存在 69 個已知開源軟件漏洞，十幾年前的古老開源軟件漏洞依然存 在于多個項目中；20 年前的老舊開源軟件版本仍然在使用，同一開源 軟件各版本的使用更加混亂，被使用版本最多的開源軟件有 235 個版 本在使用。整體的安全風險狀況與 2020 年相比沒有任何改善，風險 水平仍處于較高狀態(tài)。

與此同時，我們觀察到 2021 年很多機構和企業(yè)開始關注開源軟 件供應鏈安全，但僅有少數(shù)的機構和企業(yè)應用了相關的開源安全治理 工具。相信隨著開源安全治理工具的推廣和持續(xù)應用，國內企業(yè)軟件開發(fā)中的開源軟件安全風險問題會逐步得到改善。