2023中国软件供应链安全分析报告

发布时间：2023年07月24日

过去的一年，各界对软件供应链安全的关注度依然高涨，相关安全攻击事件也持续增加。为此，奇安信代码安全实验室在前两期《中国软件供应链安全分析报告》（https://www.qianxin.com/threat/ reportdetail?report_id=161）的基础上，推出本分析报告。
作为该系列年度分析报告的第三期，本报告继续针对国内企业自主开发的源代码、开源软件生态、国内企业软件开发中开源软件应用等的安全状况，以及典型应用系统供应链安全风险实例进行深入分析，并总结趋势和变化。相比于去年的报告，本报告有以下新增之处：在开源软件生态发展与安全部分新增了开源项目维护者对他人提交安全问题的修复确认情况；在企业软件开发中的开源软件应用部分新增了对不同行业软件项目开源使用风险的分析，对开源许可协议的风险分析分别统计了超危和高危开源许可协议的使用情况；在典型软件供应链安全风险实例部分，通过多个新的实例再次验证了因软件供应链的复杂性，开源软件的“老漏洞”发挥“0day漏洞”攻击作用的状况……