《2024中国软件供应链安全分析报告》由奇安信代码安全实验室发布，深入分析了当前软件供应链安全的态势、挑战与改进方向。报告指出，尽管攻击手段不断演变，国内企业在软件供应链安全方面取得了一定进展，但仍面临诸多挑战。

报告强调了自主开发源代码的安全状况，发现高危缺陷密度有所下降，显示出国内企业在编码规范和代码审计工具使用上的提升。同时，开源软件生态的发展和安全状况也受到关注，开源软件的安全性、活跃度和关键基础开源软件的分析揭示了潜在风险和改进空间。

报告还探讨了国内企业在软件开发中开源软件的应用状况，发现开源软件使用广泛，但同时也引入了安全风险。开源软件漏洞风险、许可协议风险和运维风险均受到分析，指出了存在的问题和改进方向。

此外，报告通过分析典型软件供应链安全风险实例，如操作系统、PHP软件和国产数据库的供应链攻击案例，展示了供应链安全威胁的具体表现和应对策略。

最后，报告提出了一系列建议，包括建立国家层面的软件供应链安全保护基础设施、完善软件供应链安全测评认证体系，以及健全关键软件供应商安全实践证明材料的备案机制，旨在推动软件供应链安全的整体提升。报告附录还介绍了奇安信代码安全实验室的背景和其在软件安全领域的贡献。

来源：奇安信