2024年度《中国软件供应链安全分析报告》发布

报告概览

近日，奇安信集团发表了《2024中国软件供应链安全分析报告》（以下简称《报告》），揭示了国内企业在软件项目的开源软件使用率达到了100%的惊人现象。尽管整体缺陷密度在2023年达到了12.76个/千行，略高于往年的平均水平，但值得注意的是，高危缺陷密度仅为0.52个/千行，相较于过去三年出现了显著的下降。

开源软件使用与安全性

《报告》通过对2023年国内企业自主开发源代码的深度分析，发现研发企业在软件开发过程中对重点缺陷的重视程度提升，安全编码规范的普及以及代码审计工具的应用，共同促成了这一积极变化。然而，不可忽视的是，由于广泛使用开源软件所带来的安全风险依然严峻。研究显示，所有项目均使用了开源软件，且平均每个项目使用的开源软件数量再创历史新高，达到166个。同时，每个项目平均存在83个已知开源软件漏洞，其中超过六成的项目含有容易被利用的开源软件漏洞。

趋势与挑战

尽管上述指标显示出软件供应链安全问题有所缓解的趋势，但当前数据仍处于较高水平，表明根本性改进尚未实现。《报告》指出，随着更多机构与企业开始关注软件供应链安全，一些基于规范化流程与实践的解决方案与检测平台已成功落地。然而，现有经验和工具的持续优化、推广及应用仍是迫切需求。

加强顶层设计

面对这一现状，《报告》强调了加强软件供应链安全顶层设计的必要性和紧迫性。鉴于欧美国家在软件供应链安全保障领域的成熟做法，如通过一系列政策、框架、指南与最佳实践的制定，以及监管执行阶段的推进，报告提出，国内应借鉴先进经验，构建统一的软件供应链安全保护基础设施，完善测评认证体系，并建立关基软件供应商安全实践的备案机制，以期全面提升软件供应链的安全水平。

结语

综上所述，《报告》不仅反映了当前中国软件供应链安全面临的挑战与机遇，还提供了明确的指导方向与建议，旨在推动国内软件供应链安全体系的建设和完善，为保障软件生态的健康发展贡献力量。