奇安信专家：近八成软件存开源漏洞 供应链需全生命周期安全防护

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

“‘企业自主开发代码缺陷密度达10.13个/千行’、‘开源项目源代码缺陷密度达14.22个/千行’、‘存在开源软件漏洞的项目占比达77.5%’……这一个个数据的背后，无不透露出软件供应链存在着巨大的安全隐患。” 

在5月20日举办的2021 IT市场年会网络安全高峰论坛上，奇安信集团代码安全事业部总经理黄永刚分享了软件供应链安全的现状。

黄永刚表示：“软件供应链可划分为开发、交付、运行三个大的环节，每个环节都可能会引入供应链安全风险从而遭受攻击，上游环节的安全问题会传递到下游环节并被放大。”

据黄永刚介绍，从2015年开始，奇安信代码安全实验室依托代码卫士和开源卫士领先的源代码的检测能力，针对企业自主开发代码、开源软件源代码、多款应用广泛的商业软件等，发起了多项安全检测计划，全面展示了软件供应链安全的全貌。

面对上述严峻的挑战，黄永刚强调，在当前软件供应链安全基础较薄弱的形势下，软件供应链安全应成为信息系统安全的底板工程，亟需建立安全与软件供应链全生命周期深度融合、全面覆盖的安全体系，来保障软件从开发、交付到运行的全过程、全生命周期安全。

对此，奇安信依托代码卫士、开源卫士以及固件卫士三大代码安全产品，可以针对软件源代码、二进制代码、安装包、安装目录、运行态程序、固件、容器镜像等软件全生命期、各种形态的软件进行供应链安全检测和分析，帮助客户尽早发现和规避软件供应链安全风险，为数字化转型保驾护航。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。