【精读】2022网信自主创新调研报告-软件供应链安全

开源软件供应链可以分为开发、交付、使用三个环节，每个环节存在各自安全风险。开发阶段，攻击者可能通过污染开发工具来控制上游软件供应链；交付阶段，攻击者可能利用捆绑、下载劫持等方法实施攻击；使用阶段，攻击者可能通过在更新升级或打补丁过程中植入恶意代码控制用户系统。

针对上游开源组件或开源代码的攻击是目前最主要的软件供应链攻击方式，攻击手段主要包括：恶意代码注入、依赖项混淆、误植域名(Typosquatting)、 品牌劫持(Brandjacking)和抗议软件(Protestware)等。开源软件供应链攻击的显著特点是攻击手段隐秘性强，且具有不可预见性的特点。恶意代码注入 攻击，是一种利用流行组件作为恶意代码载体的攻击类型，攻击者首先会攻击开发者系统或代码库，获取对库源代码的访问权限，然后利用开发者的权限向代码库提交恶意代码，用户基于对开发者及其对项目的历史信任基础，并不会对新版组件安全性产生怀疑。抗议软件(protestware)是另外一种攻击形式的恶意代码注入攻击，与恶意代码注入不同的是，攻击者是开源项目开发者本人。

开源软件在分发时一般会声明其使用的开源许可证。由于开源软件的许可协议条款由开源软件作者自定义，这导致许可证内容也非常自由并且种类也极其多样，容易出现知识产权风险。据不完全统计，目前有超过2000种不同版本的开源许可证，即便是获得OSI认证的许可证也多达96种。另外，开源许可证对分发限制、使用、专利、商标、版本等内容都作出了要求，如未能履行开源许可的义务，可能会造成侵权进而导致索赔、诉讼、专用代码被开源、软件被迫下架或停用、商誉受损等风险。

软件开发人员在开发过程中引入开源软件或开源代码时往往只关注其在功能、性能、可用性、兼容性、可扩展性，缺少对开源软件自身安全漏洞、开源软件许可、可持续供应等方面的评估。在使用过程中往往忽视对已使用的开源代码建立台账、对开源软件安全风险进行持续跟踪等问题，最终导致使用开源软件的安全风险增大。

目前普遍使用的漏洞库（如：NVD、CNVD、CNNVD等）都缺少对开源软件的全版本（所在历史及最新版本）信息库、依赖关系信息库、开源许可证信息库等关键要素的支持。另外，传统漏洞库也不会收录开源软件的篡改、污染、劫持、断供等威胁情报信息。由于缺少有效的开源软件供应链安全情报库的支持，采用人工检索开源软件安全威胁的方式，导致开源软件安全管理效率低、效果差等问题。

开源生态基础设施的主要核心由开源组织（如基金会）、开源代码托管平台、开源制品分发平台（如中央仓库）等组成。这些组织者均会受到属地出口管制政策的约束。以汇聚了全球最多开发者同时也是规模最大的代码托管平台GitHub、全球规模最大的容器托管平台Docker Hub、国际最为著名的开源基金会Apache软件基金会为例，他们均受美国《出口管理条例》的约束。

企事业单位应建设开源软件安全治理体系。安全治理体系除了组织、流程和安全审查机制之外，还应覆盖软件的全生命周期：在软件项目设计阶段，应提前对需要使用的开源软件进行评估与选型，评估要点除了可用性（功能、性能、可靠性、兼容性等）外，还应重点评估开源软件的安全性和断供风险；在软件开发阶段，引入开源软件时应利用源代码分析工具对开源组件进行安全扫描，避免引入已知高危漏洞；在软件上线发布验收阶段，应再次对项目进行回归检查；在软件运营阶段，应持续做好开源软件安全风险监测工作，发现威胁并及时处置。

开源软件供应链安全情报库是开源软件供应链安全的数据底座。开源软件信息是风险分析和安全治理的基础，因此实现开源软件安全治理首先要掌握开源软件的基础信息，包含组件信息、漏洞信息、开源许可、供应商信息等。建立一个数据全面、具备参考性的开源软件知识库，不断搜集获取开源软件最新情报，是支撑软件供应链安全治理的根本，能有效支撑开源软件供应链风险持续监测，提升安全应急响应速度，提高开源软件安全治理的效能。

面对开源软件供应链“卡脖子”风险，应基于积极影响、深度储备、提前防范的发展思路，主动积极地融入全球开源生态，提升国内开源组织在全球开源生态中的话语权。同时应大力支持高校、企事业单位深度参与编程语言、操作系统、云计算、AI、大数据、数据库、中间件、应用服务器等关键开源项目，储备开源技术生态人才。另外，在开源基础设施建设方面，应加强代码托管平台、中央仓库等基础设施与国外数据的镜像同步。