过去的一年，各界对软件供应链安全的关注度依然高涨，相关安 全攻击事件也持续增加。为此，奇安信代码安全实验室在前两期《中 国软件供应链安全分析报告》（https://www.qianxin.com/threat/ reportdetail?report_id=161）的基础上，推出本分析报告。 作为该系列年度分析报告的第三期，本报告继续针对国内企业自 主开发的源代码、开源软件生态、国内企业软件开发中开源软件应用 等的安全状况，以及典型应用系统供应链安全风险实例进行深入分析， 并总结趋势和变化。相比于去年的报告，本报告有以下新增之处：在 开源软件生态发展与安全部分新增了开源项目维护者对他人提交安 全问题的修复确认情况；在企业软件开发中的开源软件应用部分新增 了对不同行业软件项目开源使用风险的分析，对开源许可协议的风险 分析分别统计了超危和高危开源许可协议的使用情况；在典型软件供 应链安全风险实例部分，通过多个新的实例再次验证了因软件供应链 的复杂性，开源软件的“老漏洞”发挥“0day 漏洞”攻击作用的状况。 感兴趣的读者阅读时可重点关注上述变化之处。