開源密碼軟件供應鏈安全綜述*

榮景峰，劉新榮，賈培養，葛平原，陳 穎，司喜絹，孫承一，張玉清，3

1.海南大學 網絡空間安全學院，海口570228

2.國家計算機網絡入侵防范中心(中國科學院大學)，北京101408

3.西安電子科技大學 網絡與信息安全學院，西安710126

1 引言

伴隨著產業發展，現代軟件的開發模式已進入規模化協作模式[1].開源密碼軟件作為一種特殊的開源軟件，不僅緩解密碼學復雜性與開發人員專業能力不足的矛盾，亦在代碼審計透明度方面表現出較大優勢.進而在密碼軟件行業發展過程中，基于開源方式進行密碼軟件的開發越來越流行.在此背景下，本文圍繞密碼軟件供求關系的新模式，結合軟件供應鏈概念，進一步分析和總結開源密碼軟件的安全問題.

當前，相關領域對開源密碼軟件存在較大依賴性.典型軟件如OpenSSL，被操作系統、Web 服務器、電子郵件和加密軟件等軟件和系統普遍依賴[2，3]，如表1 所示.一項調查顯示[4]在全球范圍內，超過66%的網站需要依賴OpenSSL.在國內，相關研究機構發布的《中國軟件供應鏈安全分析報告》中[5]，OpenSSL軟件在主流開源軟件包生態系統漏洞總數及年度增長TOP20 名錄中排名第八，且是唯一一個密碼類型軟件.上述數據表明，OpenSSL 軟件是較為典型的開源密碼軟件，在行業中具有一定代表性.

表1 開源密碼軟件OpenSSL 的行業依賴Table 1 Industry dependencies of OpenSSL，an open source cryptography software

隨著開源軟件開發模式的流行和普及，密碼軟件相關行業已逐漸形成一種鏈狀供求模式.開源密碼軟件供應鏈模式的出現，一方面促進了密碼軟件高速發……