近日发布的《2021年中国软件供应链安全综合分析报告》,对2557个国内企业软件源代码进行分析发现:近九成软件存在漏洞,平均每千行代码中有10个缺陷,而高危缺陷密度为每千行1.08个。
九成软件存在已知漏洞
分析报告发现,在2557个国内企业软件项目中,存在已知开源软件漏洞的项目有2280个,占比高达89.2%;存在已知高危开源软件漏洞的项目有2062个,占比为80.6%;存在已知超危开源软件漏洞的项目有1802个,占比为70.5%。
软件供应链隐含巨大的安全隐患
同时分析报告显示,2557个国内企业软件项目均使用了开源软件。由于开源软件之间的依赖关系错综复杂,当某个开源软件曝出安全漏洞时,软件开发者往往不自知,这中间就隐含了巨大的软件供应链安全风险。
超过15年的古老漏洞仍然存在
分析发现,部分软件项目中存在十几年前公开的古老开源软件漏洞,最古老的漏洞是2005年11月公开的CVE-2005-3510,仍然存在于31个项目中。许多软件项目中使用了十几年前发布的开源软件版本,存在很大的运维风险。被使用的老旧开源软件版本中,最老旧的一个是2003年3月3日发布的Apache Xalan 2.5.D1,已经有18年之久。
据了解,国内很多机关单位邮件系统版本老旧,长期无维护,安全管理缺失等客观因素,非常容易成为被攻击的目标,类似的办公系统安全隐患重重,使得不法分子有机可乘。
软件安全、数据安全已经成为网络空间攻防对抗的焦点,这将直接影响关键基础设施和重要信息系统的安全。
数安时代建议:政企机构重点管控开源软件的使用,持续监测和降低开源软件的安全风险。尽可能使用国内安全机构全知识产权,自主研发的软件系统。
自行开发软件系统或委托第三方定制开发软件系统时,应遵循软件安全开发生命周期管理流程,定期对软件源代码进行安全缺陷检测和修复,建立完善的产品维护机制,及时发现和修补漏洞。
同时,及时为软件部署代码签名证书,通过对代码的数字签名可以减少软件下载时弹出的安全警告,保证代码完整性和不被恶意篡改,使厂商信息对下载用户公开可见,从而建立良好的软件品牌信誉度。
代码签名针对网上发布控件、应用程序、驱动程序,如设备驱动程序、硬件固化程序、病毒更新码、配置文件等代码和内容创建数字“保护膜”,以便在软件发行者和用户通过 Internet 与移动网络下载代码及内容时对他们加以保护。给代码添加数字签名可验证内容的来源及完整性,促进软件的下载使用与分发。减少错误消息和安全警告,增加软件发行、下载。
用户在下载已经签名的代码时,计算机会自动验证该代码的可信性,并提示用户可以放心下载和使用。减少或完全消除安全提示,减少客户端软件运行报错,有效提升客户端使用体验,增加软件发行、下载量。系统安全防护软件也会对第三方认证机构颁发的数字证书所签名的软件适当放宽执行权限,避免误报困扰。构建品牌信任。
声明:本网站发布的图片均以转载为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。本站原创内容未经允许不得转载,或转载时需注明出处:GDCA数安时代
国内企业有九成软件存在漏洞
发布日期:2021-06-10
领取优惠
提交成功!