数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

2024年8月12日，奇安信集团对外发布《2024中国软件供应链安全分析报告》（以下简称《报告》）。《报告》显示，国内企业软件项目，开源软件使用率达100%。目前，开源软件漏洞指标仍处于高位，软件供应链的安全问题并没有得到根本性的改善，20多年前的开源软件漏洞仍然存在于多个软件项目中。《报告》建议，软件供应链安全保障应加强顶层设计，持续推进和落地相关保护工作。

作为本系列年度分析报告的第四期，本报告深入分析了过去一年来代码安全问题对软件供应链安全性的潜在威胁，总结了趋势和变化。与往年报告相比，本期报告在开源软件生态发展与安全部分新增了对NPM生态中恶意开源软件分析的内容；并通过多个实例再次验证了“外来”组件“老漏洞”发挥“0day漏洞”攻击作用的状况。感兴趣的读者可重点关注。

现将报告全文发布，方便阅读或收藏。完整报告下载方式见文末。

在线阅读版：《2023中国软件供应链安全分析报告》全文

在线阅读版：《2022中国软件供应链安全分析报告》全文

在线阅读版：《2021中国软件供应链安全分析报告》全文

奇安信再次入选全球《软件成分分析全景图》代表厂商

奇安信入选全球《软件成分分析全景图》代表厂商

奇安信入选全球《静态应用安全测试全景图》代表厂商

JFrog Artifactory 缺陷导致软件供应链易受缓存投毒攻击

SAP AI Core中严重的 “SAPwned” 缺陷可引发供应链攻击

奇安信开源卫士率先通过可信开源治理工具评估