奇安信发布《2023中国软件供应链安全分析报告》

　　上证报中国证券网讯（记者 张雪）7月24日，奇安信对外发布《2023中国软件供应链安全分析报告》（下称《报告》），分析了过去一年来国内软件供应链中开源软件应用的安全状况并附以典型案例加以说明，总结了开源软件供应链风险的趋势和变化。

　　《报告》显示，2022年开源软件生态依然繁荣。2021年底和2022年底，主流开源软件包生态系统中开源项目总量分别为4395386个和5499977个，一年间增长了25.1%；截至2022 年底，主流开源软件包生态系统中平均每个开源项目有12.6个版本，较前两年报告的11.8个和10.2个呈持续增长趋势。

　　奇安信代码安全实验室通过数据分析发现，与前两年相比，开源软件自身的安全状况持续下滑，国内企业软件开发中因使用开源软件而引入安全风险的状况更加糟糕，开源软件供应链安全风险管控依然任重道远。

　　《报告》指出，开源项目维护者对安全问题的重视度和修复积极性较低。2022年，“奇安信开源项目检测计划”向各被测开源项目维护者反馈了1484个安全问题，仅有547个得到确认并修复，其他937个反馈不修复、未反馈，或无人处理，安全问题的修复率仅为36.9%。另据统计发现，一个安全问题从提交到维护人员反馈确认并修复，时间较长的可长达一年甚至更久。

　　并且从开源软件活跃度角度看，不活跃的开源软件，一旦出现安全漏洞，难以得到及时修复。如果将超过一年未更新发布过版本的开源软件项目定义为不活跃项目，数据显示，2022年全年，主流开源软件包生态系统中不活跃的开源软件项目数量3967204个，占比高达72.1%。与去年的69.9%和前年的61.6%相比，呈现出逐年升高趋势。

　　《报告》提到，近年来国外各组织机构推进和出台了一系列针对开源治理的措施和解决方案。然而，国内还未形成统一的规范和流程，缺少统一的开源治理体系架构、指南和公共服务平台支撑，为此提出三方面建议，一是制定具有普遍共识的开源治理框架和指南；二是建立开源治理平台和漏洞响应机制，方便各方开展开源软件资产风险监测；三是提升针对开源软件供应链的“五防”能力，即防漏洞、防投毒、防侵权、防停服、防断供。