软件质量问题给美国带来的巨大经济损失

关键要点

• 预计美国因软件质量差损失高达 2.41 万亿美元 ，几乎是其预算赤字的两倍。
• 网络安全漏洞 和技术债务 的增加是导致损失增长的主要因素。
• 软件物料清单（SBOM） 的创建可以帮助企业更好地管理安全风险。
• 业界对推广 SBOM 的态度较为谨慎，有关立法需仔细考虑。

美国今年因软件质量问题造成的经济损失预计至少为2.41万亿美元，这一数字几乎是国家预算赤字的两倍。根据和的数据显示，美国软件质量差的成本，包括导致网络攻击的漏洞、复杂的软件供应链问题，以及日益增加的技术债务，导致了美国企业和其他组织的集体成本飙升。

报告的作者、德克萨斯大学奥斯汀分校退休软件工程教授赫布·克拉斯纳表示：“预计2022年全球网络犯罪将造成7万亿美元的损失，现阶段是改善软件质量、降低网络安全风险增长率的关键时机。”

虽然2022年的网络犯罪损失和供应链事故的实际成本仍未最终确定，但数据显示开源软件中网络安全漏洞的数量是近年来该问题的重要推动因素之一。

年份 | 开源组件相关软件供应链失效率增长
—|—
2020 | 基准年份
2021 | 增长650%

显然，尽管和已为外部应用程序的安全隐患敲响警钟，但在过去一年里，开源代码库仍然成为了网络攻击的主要目标。

根据报告，技术债务在美国的累计成本在2022年已达到近1.52万亿美元，且与操作故障和供应链问题相关联。Synopsys跨组合解决方案与战略副总裁AnitaD’Amico指出：“技术债务是在软件应用生命周期中逐步累积的，早期版本的应用程序没有最终版本中的完整功能集，这些功能的实现需要在技术决策的约束下逐步完成。”

政府与行业合作推动 SBOM 来应对脆弱代码

D’Amico还表示，在即将到来的一年中创建软件物料清单（SBOM）可以帮助企业有效管理安全风险。现今，商业系统中销售的软件有相当一部分源自免费代码库或其他来源，而只有少数公司会花时间记录每行代码的来源。这些SBOM可以作为代码片段或组件的列表，在发现新漏洞时，有助于迅速识别依赖同一脆弱代码的程序和系统，从而为维护安全提供一份资产的地图。

D’Amico进一步解释：“创建软件物料清单（SBOM）可以让组织主动全面盘点构成软件的组件。当现有组件中发现新漏洞时，组织可以快速识别软件中漏洞所在，并采取措施修复。”

然而，目前只有少数组织正在开发SBOM。拜登政府已指派网络安全和基础设施安全局及国家标准与技术研究所负责制定一个框架，以促进SBOM的创建和实施，更好地管理像Log4J和SolarWinds这样的漏洞，这些漏洞在各个行业中深入嵌入。

然而，行业的主要参与者对任何与SBOM相关的强制性要求都表现出谨慎，上周，包括美国商会及网络安全联盟在内的多个贸易组织发表了，请求国会推迟对国防承包商实施SBOM，直至生态系统成熟。

GuidePoint Security的