开源软件安全风险是当前软件供应链安全的焦点问题

奇安信代码安全实验室通过数据对比分析发现，与前一年度相比， 国内企业自主开发源代码的安全状况有较明显的改善，千行代码缺陷 密度和十类典型安全缺陷的总体检出率均有明显下降，这应该得益于 软件源代码安全缺陷分析工具的持续应用,以及程序员编写代码时的 安全意识提高。但开源软件安全风险仍然居高不下，开源软件的安全 风险管控是当前软件供应链安全保障需要解决的核心焦点问题。

1 国内企业自主开发源代码安全性明显改善 2021 年，国内企业自主开发源代码的整体缺陷密度和高危缺陷 密度相比 2020 年均有所下降，其中高危缺陷密度下降较为明显，从 1.08 个/千行降为 0.65 个/千行；十类典型安全缺陷的总体检出率从 2020 年的 77.8%下降到 59.9%，下降了近 18%。

2 开源生态保持蓬勃发展，开源软件自身安全问题更加严峻 2020 年底和 2021 年底，主流开源软件包生态系统中开源项目总 4 量分别为 3814194 个和 4395386 个，一年间增长了 15.2%，开源生态 依然保持蓬勃发展的态势。与此同时，开源软件漏洞数量持续增长， 2021 年新增的开源软件漏洞达到 6346 个；不活跃的开源项目占比从 去年报告的 61.6%提升至 69.9%。根据“奇安信开源项目检测计划” 的实测数据显示，所检测开源软件的总体缺陷密度和高危缺陷密度略 高于去年，依然处于较高的水平；十类典型缺陷的总体检出率为 73.5%， 远高于去年的 56.3%。总体来看，开源软件自身的安全问题日益严峻。

3 国内企业软件开发中，开源软件安全风险问题未见改善 2021 年，奇安信代码安全实验室对 3354 个国内企业软件项目中 使用开源软件的情况进行了分析，从数据分析情况来看，国内企业使 用开源软件时的安全风险问题没有得到改善，开源软件安全风险是当 前企业软件开发中亟待解决的首要问题。 在 2021 年分析的 3354 个软件项目中，平均每个项目使用 127 个 开源软件；存在已知开源软件漏洞的项目占比 86.4%，平均每个项目 存在 69 个已知开源软件漏洞，十几年前的古老开源软件漏洞依然存 在于多个项目中；20 年前的老旧开源软件版本仍然在使用，同一开源 软件各版本的使用更加混乱，被使用版本最多的开源软件有 235 个版 本在使用。整体的安全风险状况与 2020 年相比没有任何改善，风险 水平仍处于较高状态。

与此同时，我们观察到 2021 年很多机构和企业开始关注开源软 件供应链安全，但仅有少数的机构和企业应用了相关的开源安全治理 工具。相信随着开源安全治理工具的推广和持续应用，国内企业软件开发中的开源软件安全风险问题会逐步得到改善。