近日发布的《2021年中国软件供应链安全综合分析报告》，对2557个国内企业软件源代码进行分析发现：近九成软件存在漏洞，平均每千行代码中有10个缺陷，而高危缺陷密度为每千行1.08个。

九成软件存在已知漏洞

分析报告发现，在2557个国内企业软件项目中，存在已知开源软件漏洞的项目有2280个，占比高达89.2%；存在已知高危开源软件漏洞的项目有2062个，占比为80.6%；存在已知超危开源软件漏洞的项目有1802个，占比为70.5%。

软件供应链隐含巨大的安全隐患

同时分析报告显示，2557个国内企业软件项目均使用了开源软件。由于开源软件之间的依赖关系错综复杂，当某个开源软件曝出安全漏洞时，软件开发者往往不自知，这中间就隐含了巨大的软件供应链安全风险。

超过15年的古老漏洞仍然存在

分析发现，部分软件项目中存在十几年前公开的古老开源软件漏洞，最古老的漏洞是2005年11月公开的CVE-2005-3510，仍然存在于31个项目中。许多软件项目中使用了十几年前发布的开源软件版本，存在很大的运维风险。被使用的老旧开源软件版本中，最老旧的一个是2003年3月3日发布的Apache Xalan 2.5.D1，已经有18年之久。

据商务密邮了解，国内很多机关单位邮件系统版本老旧，长期无维护，安全管理缺失等客观因素，非常容易成为被攻击的目标，类似的办公系统安全隐患重重，使得不法分子有机可乘。

软件安全、数据安全已经成为网络空间攻防对抗的焦点，这将直接影响关键基础设施和重要信息系统的安全。

商务密邮建议：政企机构重点管控开源软件的使用，持续监测和降低开源软件的安全风险。尽可能使用国内安全机构全知识产权，自主研发的软件系统。

自行开发软件系统或委托第三方定制开发软件系统时，应遵循软件安全开发生命周期管理流程，定期对软件源代码进行安全缺陷检测和修复，建立完善的产品维护机制，及时发现和修补漏洞。

商务密邮作为数据安全的保卫者，时刻关注全球安全态势，不断加固产品安全性，为政企机构提供更加安全的邮件产品。

商务密邮是国内专业的电邮安全服务提供商，全系产品均采用自主研发，为用户提供从邮件建立到邮件收发、邮件存储、邮件管控全周期的邮件安全防护方案，针对内部邮箱进行管控，有效防控内部邮件外泄风险，邮件加密、邮件防泄漏、邮件溯源跟踪、邮件审计归档等管理策略，可帮助政企机构建立高效、安全、稳定、合规的邮件安全体系，保障政企通信安全。