墨菲安全出席OSPO Summit 2025，分享开源软件供应链威胁治理实践

在演讲中，欧阳强斌首先剖析了开源软件供应链的威胁与趋势。随着开源软件在企业中的广泛应用，供应链面临的攻击面不断扩大，安全威胁不断增加。

同时，当下开源软件等供应链攻击手段愈发隐蔽与复杂，攻击者常利用供应链上下游信任关系，在软件开发、分发等各环节巧妙植入恶意代码。

2024年的XZ-Utils供应链后门投毒事件就是其中典型代表。XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件。投毒者处心积虑蛰伏三年多，一步步支起一张大网，企图掌控全球主流linux发行版，一旦成功他将可以随意侵入全球绝大多数的服务器，这将是足以引爆全球的核弹危机。所幸被及时察觉，没有造成过大的现实危害。但此次事件却凸显出了开源软件生态的脆弱性。

根据数据统计，漏洞数量正在逐年增长，每年新披露的开源软件漏洞有2万多个，2024年已披露的开源软件漏洞中，高危及以上占比超40%。

而开源软件供应链的复杂性和开放性，也会使得风险传播速度更快，影响范围更广，一个微小漏洞可能会在短时间内引发连锁反应，冲击整个生态体系。

谈及 OSPO（开源项目办公室）在应对开源软件供应链威胁时面临的挑战，欧阳强斌表示，首要难题在于企业内部开源软件管理的无序性。

多数企业不同部门各自为政，缺乏统一管控，导致开源软件使用情况混乱，难以全面梳理软件供应链构成，自然也无法精准评估与防控风险。

同时，开源社区的多元与活跃，虽为创新注入活力，却也增加了OSPO追踪和管理开源组件更新及安全问题的难度。

开源项目版本迭代频繁，不同版本间兼容性、安全性参差不齐，而企业既要保障业务正常运转，又要及时跟进更新修复漏洞，平衡二者关系并非易事。

此外，开源软件许可证合规性管理也错综复杂，不同许可证条款各异，一旦企业使用不当，便可能陷入法律纠纷。

基于以上重重挑战，欧阳强斌着重介绍了在治理实践方面，墨菲安全构建的ESSF企业软件安全治理框架。

该架构从企业的业务系统出发，深入到具体的应用，再到构成应用的软件成分，最终识别和应对各种威胁类型。通过这种层层递进的分析方法，帮助企业从全局视角理解软件安全，并找到有效的治理路径。

ESSF 目前包含企业软件成分分类（ESCT）及企业软件成分威胁分类（ESTT）两个重要组成部分。

企业软件成分分类(ESCT) 是一套标准化的分类框架，旨在帮助企业清晰地识别、定义和组织构成企业软件的各种成分，有效管理安全风险。

企业软件成分威胁分类 (ESTT) 是一套系统化的威胁知识库，通过对典型威胁场景的深度剖析和分类，结合真实攻击事件和业界最佳实践，为企业提供企业软件安全建设的权威指导，助力企业有效应对日益复杂的安全挑战。

最后，欧阳强斌对未来开源软件供应链安全发展作出展望。他强调，随着技术持续革新，OSPO需要不断创新治理模式，强化跨企业、跨社区协作交流。墨菲安全也将坚定深耕开源软件安全领域，持续优化产品与服务，进一步完善企业软件安全治理架构，提升检测精度与响应速度。

同时，墨菲安全也会与更多行业伙伴携手，分享更多开源安全最佳实践成果，推动安全治理经验在全行业的标准化与普及化，共同构建坚不可摧的开源软件供应链安全生态，为企业数字化转型筑牢安全根基。