奇安信發布《2022中國軟件供應鏈安全分析報告》 誰會成為下一個Log4j2?
7月26日,奇安信集團對外發布了《2022中國軟件供應鏈安全分析報告》(簡稱《報告》),對過去一年多來國內軟件供應鏈各個環節的安全形勢,進行了深入細致的分析。
《報告》指出,盡管“Log4Shell”漏洞造成了空前的影響,但關鍵基礎開源軟件仍然沒有引起足夠的重視,我們應通過該漏洞事件舉一反三,對類似Log4j2這樣的關鍵基礎開源軟件進行系統化梳理,從基礎底座層面進行漏洞排查和加固,針對性采取更強的安全防護措施。
《報告》顯示,與前一年度相比,企業自主研發源代碼安全缺陷情況有明顯改善,千行代碼缺陷密度和十類典型安全缺陷的總體檢出率均有明顯下降,這應該得益于軟件源代碼安全缺陷分析工具的持續應用,以及程序員編寫代碼時的安全意識提高。但開源軟件安全風險仍然居高不下,開源軟件的安全風險管控是當前軟件供應鏈安全保障需要解決的核心焦點問題。
開源軟件安全形勢嚴峻已成軟件供應鏈安全的焦點
據奇安信代碼安全實驗室監測發現,2020年底和2021年底,主流開源軟件包生態系統中開源項目總量分別為3814194個和4395386個,一年間增長了15.2%,開源生態依然保持蓬勃發展的態勢。
與此同時,開源軟件漏洞數量持續增長,2021年新增的開源軟件漏洞達到6346個。2021年全年,“奇安信開源項目檢測計劃”對1780個開源軟件項目的源代碼進行了安全檢測,共發現安全缺陷2648242個,其中高危缺陷162959個。整體缺陷密度為16.11個/千行,高危缺陷密度為0.99個/千行,均高于前一年度報告的14.96個/千行和0.95個/千行。
另一方面,奇安信代碼安全實驗室對3354個國內企業軟件項目中使用開源軟件的情況進行了分析。分析結果顯示,平均每個項目使用了127個開源軟件,存在已知開源軟件漏洞的項目占比86.4%,其中存在容易利用的漏洞的項目有2581個,占比高達77.0%。平均每個項目存在69個已知開源軟件漏洞,略高于前一年度的66個,最多的軟件項目存在1555個已知開源軟件漏洞。十類典型缺陷的總體檢出率為73.5%,遠高于去年的56.3%。
值得關注的是,在所有被檢出的漏洞中,最古老的漏洞是2005年8月公開的CVE-2005-2541,仍然存在于13個項目中。在開源項目版本管理方面,20年前的老舊開源軟件版本仍然在使用,同一開源軟件各版本的使用相比于前一年度更加混亂,存在大量版本混用的情況,最多的開源軟件有235個版本在使用,從而進一步加劇了開源項目的整體安全風險。
《報告》指出,從數據分析情況來看,國內企業使用開源軟件時的安全風險問題沒有得到改善,開源軟件安全風險是當前企業軟件開發中亟待解決的首要問題。
防范下一個Log4j2
“關鍵基礎開源軟件”需被重點關注
在開源生態中,有一些開源軟件的地位非常重要,它們被眾多開源軟件所依賴,被廣泛地使用在各種軟件系統之中,這些開源軟件可以說是現代軟件開發的核心基礎設施和底座,《報告》將其稱為“關鍵基礎開源軟件”。
因為“Log4Shell”漏洞(漏洞編號:CVE-2021-44228)而被更多人熟知的Apache Log4j2就是關鍵基礎開源軟件中的一員。作為目前最為流行的開源日志組件之一,Apache Log4j2等關鍵基礎開源軟件一旦出現漏洞,其放大效應非常顯著,影響范圍巨大且難以消除。
《報告》使用了直接依賴該軟件的開源組件數量,作為開源軟件重要性度量的指標,并且基于經驗參考將直接依賴數大于1000的開源軟件定義為關鍵基礎開源軟件。直接依賴數越大的開源軟件出現漏洞后,造成的放大效應越大,影響的范圍越廣。
奇安信代碼安全實驗室分析發現,Maven、NPM、Nuget、Pypi、Packagist、Rubygems等主流開源生態中直接依賴數大于1000的開源軟件共有1068款,開源軟件junit:junit的直接依賴數高達95614,排名第一,大名鼎鼎的Apache Log4j2并沒有出現在TOP50中,其直接依賴數為7233,排在第103名。下表為報告發布的關鍵基礎開源軟件TOP15(完整 TOP50見報告全文)。
從漏洞放大效應的角度來看,如果TOP50里的任何一款開源軟件曝出嚴重漏洞,其影響可能都會大過Apache Log4j2 的“Log4Shell”漏洞。因此,《報告》認為,關鍵基礎開源軟件的安全現狀不容樂觀,防范出現下一個Log4j2,需要未雨綢繆,關鍵基礎開源軟件需要被重點關注。
保障軟件供應鏈安全
軟件物料清單(SBOM)應成為軟件產品標配
盡管在過去的一年里,軟件供應鏈安全的重要性已經逐步成為各方共識。但國內大多數機構和企業目前對于軟件供應鏈安全還處于了解和保持關注階段,尚未付諸真正的行動。從《報告》中國內企業軟件開發項目的實測數據來看,軟件供應鏈安全相關風險很高,形勢嚴峻且緊迫。
《報告》認為,軟件組成成分的透明性是軟件供應鏈安全保障的基礎,建議將軟件物料清單(SBOM)作為軟件供應鏈安全的抓手首先推進落地,通過軟件物料清單(SBOM)的推廣應用,牽引軟件供應鏈上下游各個環節的協同。奇安信代碼實驗室給出的具體建議如下:
在國家與行業監管層面,提高關鍵基礎設施和重要信息系統用戶軟件供應鏈安全保障的要求,要求向關鍵基礎設施和重要信息系統用戶銷售軟件產品、提供軟件定制開發的廠商和供應商,在交付軟件系統的同時,需提供軟件物料清單(SBOM),以保持足夠的透明性;組織制定軟件物料清單(SBOM)相關的國家標準、行業標準,規范針對軟件物料清單(SBOM)的格式和內容要求,促進軟件物料清單(SBOM)成為軟件產品的標配;建立相應的公共服務平臺,提供軟件物料清單(SBOM)的檢測驗證、數據查詢、威脅情報等服務。
針對軟件廠商和供應商層面,建議在自身軟件開發流程中采用開源安全治理工具,持續監測軟件開發中所使用的開源軟件物料,消減其安全風險;產品正式發布時,應提取和生成產品的軟件物料清單(SBOM),并隨軟件向客戶提供;針對自身軟件產品中所使用的軟件物料,持續監測其安全漏洞等風險情況,并及時為客戶提供相應的技術支持服務。
在軟件最終用戶層面,建議保持對軟件物料透明性的高度關注,在購買軟件產品或委托定制開發軟件系統時,要求廠商和供應商提軟件物料清單(SBOM),并與其簽訂安全責任協議,要求其對軟件物料的安全性負責并提供后續的技術支持服務;對于運行重要業務的軟件系統,應使用合適的檢測工具驗證廠商和供應商所提供的軟件物料清單(SBOM)的正確性,確認軟件的組成成分及安全風險狀況;在軟件系統日常運行過程中,應基于軟件物料清單(SBOM)持續跟蹤軟件物料相關的威脅情報,及時采取安全措施,消減相關安全風險。
