国内企业有九成软件存在漏洞

根据《2021年中国软件供应链安全综合分析 告》，对2557个国内企业软件源代码进行分析发现：近九成软件存在漏洞，平均每千行代码中有10个缺陷，而高危缺陷密度为每千行1.08个。

九成软件存在已知漏洞

分析 告发现，在2557个国内企业软件项目中，存在已知开源软件漏洞的项目有2280个，占比高达89.2%；存在已知高危开源软件漏洞的项目有2062个，占比为80.6%；存在已知超危开源软件漏洞的项目有1802个，占比为70.5%。

超过15年的古老漏洞仍然存在

分析发现，部分软件项目中存在十几年前公开的古老开源软件漏洞，最古老的漏洞是2005年11月公开的CVE-2005-3510，仍然存在于31个项目中。许多软件项目中使用了十几年前发布的开源软件版本，存在很大的运维风险。被使用的老旧开源软件版本中，最老旧的一个是2003年3月3日发布的Apache Xalan 2.5.D1，已经有18年之久。

据了解，国内很多机关单位邮件系统版本老旧，长期无维护，安全管理缺失等客观因素，非常容易成为被攻击的目标，类似的办公系统安全隐患重重，使得不法分子有机可乘。

软件安全、数据安全已经成为 络空间攻防对抗的焦点，这将直接影响关键基础设施和重要信息系统的安全。

数安时代建议：政企机构重点管控开源软件的使用，持续监测和降低开源软件的安全风险。尽可能使用国内安全机构全知识产权，自主研发的软件系统。

软件开发者在分发软件时总会遇到操作系统拦截，会在客户下载时弹出安全警告提示客户谨慎安装，有时候杀毒软件还会直接阻拦在防火墙外无法安装，这时候代码签名证书签发过的代码或软件就可以解决这个问题。在给要发行的代码或软件用代码签名证书进行数字认证之后就是对它的身份进行了认证，这样操作系统才会识别，不会像对病毒那样直接不能安装。

自行开发软件系统或委托第三方定制开发软件系统时，应遵循软件安全开发生命周期管理流程，定期对软件源代码进行安全缺陷检测和修复，建立完善的产品维护机制，及时发现和修补漏洞。

同时，及时为软件部署代码签名证书，通过对代码的数字签名可以减少软件下载时弹出的安全警告，保证代码完整性和不被恶意篡改，使厂商信息对下载用户公开可见，从而建立良好的软件品牌信誉度。

用户在下载已经签名的代码时，计算机会自动验证该代码的可信性，并提示用户可以放心下载和使用。减少或完全消除安全提示，减少客户端软件运行 错，有效提升客户端使用体验，增加软件发行、下载量。系统安全防护软件也会对第三方认证机构颁发的数字证书所签名的软件适当放宽执行权限，避免误 困扰。构建品牌信任。