2023中國(guó)軟件供應(yīng)鏈安全分析報(bào)告

(1)超7成開(kāi)源軟件項(xiàng)目處于不活躍狀態(tài) 16(2)超2.2萬(wàn)個(gè)開(kāi)源軟件一年內(nèi)更新發(fā)布超過(guò)100個(gè)版本 16 (1)主流開(kāi)源生態(tài)關(guān)鍵基礎(chǔ)開(kāi)源軟件TOP50 17(2)從未公開(kāi)披露過(guò)漏洞的關(guān)鍵基礎(chǔ)開(kāi)源軟件占比進(jìn)一步升高 20(3)關(guān)鍵基礎(chǔ)開(kāi)源軟件的整體運(yùn)維風(fēng)險(xiǎn)仍處于較高水平 20企業(yè)軟件開(kāi)發(fā)中開(kāi)源軟件應(yīng)用狀況 21 (1)平均每個(gè)軟件項(xiàng)目使用155個(gè)開(kāi)源軟件 21(2)流行開(kāi)源軟件被超4成的軟件項(xiàng)目使用 22 (1)近8成軟件項(xiàng)目存在容易利用的開(kāi)源軟件漏洞 22(2)平均每個(gè)軟件項(xiàng)目存在110個(gè)已知開(kāi)源軟件漏洞 23(3)影響最廣的開(kāi)源軟件漏洞存在于超4成的軟件項(xiàng)目中 24(4)20多年前的開(kāi)源軟件漏洞仍然存在于多個(gè)軟件項(xiàng)目中 25 (1)最流行的開(kāi)源許可協(xié)議在超半數(shù)的項(xiàng)目中使用 26(2)1/6的項(xiàng)目使用了含有超、高危許可協(xié)議的開(kāi)源軟件 26 (1)近30年前的老舊開(kāi)源軟件版本仍在被使用 28(2)開(kāi)源軟件各版本使用依然混亂 29 (1)各行業(yè)軟件項(xiàng)目分布情況 29(2)各行業(yè)軟件項(xiàng)目使用開(kāi)源軟件情況 30(3)各行業(yè)軟件項(xiàng)目含已知開(kāi)源軟件漏洞情況 31五、典型軟件供應(yīng)鏈安全風(fēng)險(xiǎn)實(shí)例分析 32 、ZCS協(xié)同辦公系統(tǒng)供應(yīng)鏈攻擊實(shí)例分析 33 1國(guó)軟件供應(yīng)鏈安全分析報(bào)告》(/threat/portdetailreportid開(kāi)源軟件生態(tài)發(fā)展與安全部分新增了開(kāi)源項(xiàng)目維護(hù)者對(duì)他人提交安化之處。1、軟件供應(yīng)鏈安全攻擊事件依然高發(fā)造2022年7月，攻擊者通過(guò)在NPM上發(fā)布包時(shí)繞過(guò)雙因子認(rèn)證2FA建了1000多個(gè)用戶賬號(hào)，攻擊者利用這些賬號(hào)自動(dòng)投放重漏洞，該漏洞可造成惡意軟件植入攻擊，進(jìn)而影響使用GitHub進(jìn)行了數(shù)字簽名，其中一個(gè)惡意DLL是利用了一個(gè)存在近10年的Windows簽名驗(yàn)證漏洞(CVE-2013-3900)通過(guò)簽名的。當(dāng)用戶安裝應(yīng)3可被用于在易受攻擊的BGP對(duì)等體上實(shí)現(xiàn)拒絕服務(wù)條件。目前2、開(kāi)源軟件安全是軟件供應(yīng)鏈安全的重中之重)開(kāi)源生態(tài)發(fā)展依然迅猛，開(kāi)源軟件自身安全狀況持續(xù)下滑過(guò)去一年，主流開(kāi)源軟件包生態(tài)系統(tǒng)中開(kāi)源項(xiàng)目總量增長(zhǎng)了持42)開(kāi)源項(xiàng)目維護(hù)者對(duì)安全問(wèn)題的重視度和修復(fù)積極性較低3)國(guó)內(nèi)企業(yè)因使用開(kāi)源軟件而引入安全風(fēng)險(xiǎn)的狀況更加糟糕風(fēng)險(xiǎn)水平仍處于較高狀態(tài)。5低于前年水平。8642010.7810.119.850.850.60.852020年2021年2022年1、編程語(yǔ)言分布情況6SQL,7,0.4%Scala,6,0.4%Swift,5,0.3%OC,8,SQL,7,0.4%Scala,6,0.4%Swift,5,0.3%Ruby,8,0.5%Go,24,1.5%PythonGo,24,1.5%Python,40,2.5%C#,54,3.4%Kotlin,4,0.3%PHP,54,3.4%NodeJS,60,3.8%C/C++,105,6.6%JAVA,JAVA,1209,語(yǔ)言總體分布情況2、典型安全缺陷檢出情況%，12路徑遍歷(39.6%)34注入(37.3%)5注入(40.1%)6路徑遍歷(40.0%)7密碼管理(30.3%)密碼管理(31.0%)8API誤用(30.1%)API誤用(28.7%)79配置管理(24.8%)配置管理(28.0%)日志偽造(17.6%)日志偽造(12.5%)日志偽造(18.2%)1、開(kāi)源軟件生態(tài)發(fā)展?fàn)顩r分析底，主流開(kāi)源軟件包生態(tài)系統(tǒng)中開(kāi)源項(xiàng)目總量分別為4395386個(gè)和對(duì)Maven、NPM、Packagist、Pypi、Godoc、Nuget、Rubygems、8源項(xiàng)目數(shù)量和增長(zhǎng)率情況如下圖所示，其中開(kāi)源項(xiàng)目數(shù)量最多的是0增長(zhǎng)率20.9%0增長(zhǎng)率20.9%23.0%12.4%24.4%55.8%53.6%3.1%8.6%2500000200000015000001000000500000nNPMkagistiNugetems年數(shù)量年數(shù)量687973c91Maven2NPM3ackagist0074i735465c8926Nuget07ygems82、開(kāi)源軟件源代碼安全狀況分析件516.1114.96開(kāi)源軟件平均缺陷密度516.1114.962521.060.990.950.990.9502020年2021年2022年(1)編程語(yǔ)言分布情況CCCC6,Python372,PHP,51,2.4%PHP,51,2.4%Ruby,50,2.4%Scala,39,1.9%Go,28,1.3%OC,101,4.8%Kotlin09,Java04,.6%(2)典型安全缺陷檢出情況1路徑遍歷(36.7%)23資源管理(33.0%)4輸入驗(yàn)證(25.1%)5密碼管理(23.5%)6日志偽造(22.9%)7注入(21.4%)8API誤用(18.2%)9跨站腳本(15.0%)配置管理(10.8%)(3)安全問(wèn)題修復(fù)確認(rèn)情況率僅為36.9%。開(kāi)源項(xiàng)目維護(hù)者對(duì)安全問(wèn)題的重視程度還較低。3、開(kāi)源軟件公開(kāi)報(bào)告漏洞狀況分析根據(jù)奇安信代碼安全實(shí)驗(yàn)室監(jiān)測(cè)與統(tǒng)計(jì)，截至2022年底，CVE/NVD、CNNVD、CNVD等公開(kāi)漏洞庫(kù)中共收錄開(kāi)源軟件相關(guān)漏洞httpswwwradareorg(2)主流開(kāi)源軟件包生態(tài)系統(tǒng)漏洞總數(shù)及年度增長(zhǎng)TOP201rFlow2raCoreuget3aven4lectronCrossplatformcationshellPM5ApacheTomcataven6lectronCrossplatformicationshellaven7POCMSgist89FFmpeg-iOSMagentoCoregistonRailssAdmingistgoDolibarrERP&CRMgistDrupal(core)gisteeworkgistakavengo2022年一年間，主流開(kāi)源軟件包生態(tài)系統(tǒng)中公開(kāi)報(bào)告漏洞數(shù)量年漏洞增量1rFlow2aven3lectronCrossplatformcationshellPM4lectronCrossplatformcationshellaven5eb6regist7smcmsaven8oprogramminglanguage9gistPMgistnitergistattermostgistavenPOCMSgistChatPMiPlatformaven4、開(kāi)源軟件活躍度狀況分析(1)超7成開(kāi)源軟件項(xiàng)目處于不活躍狀態(tài)我們將超過(guò)一年未更新發(fā)布過(guò)版本的開(kāi)源軟件項(xiàng)目定義為不活現(xiàn)出逐年升高的趨勢(shì)。對(duì)八個(gè)典型的開(kāi)源軟件包生態(tài)系統(tǒng)進(jìn)行分析和比較發(fā)現(xiàn)，除1aven2PM3gist456uget7s8(2)超2.2萬(wàn)個(gè)開(kāi)源軟件一年內(nèi)更新發(fā)布超過(guò)100個(gè)版本系統(tǒng)中項(xiàng)目數(shù)量相同，呈現(xiàn)出逐年上升的趨勢(shì)。1PM2aven3uget45n6gist7s85、關(guān)鍵基礎(chǔ)開(kāi)源軟件分析去年的報(bào)告中，我們新增了“關(guān)鍵基礎(chǔ)開(kāi)源軟件”安全狀況分析，即被眾多其他開(kāi)源軟件所依賴(根據(jù)經(jīng)驗(yàn)具體定義為直接依賴數(shù)(1)主流開(kāi)源生態(tài)關(guān)鍵基礎(chǔ)開(kāi)源軟件TOP50Rubygems等主流開(kāi)源生態(tài)中直接依賴數(shù)大于1000的開(kāi)源軟件共有1aven2ms3scalalangscalalibraryaven4erms5ms6Newtonsoft.Jsonuget7fjslfjapiaven8PM9tsPMPMPMgistPMuzzlegistsavaguavaavenbrainskotlinkotlinavenPMtgbacklogbackclassicavenPMockitomockitocoreavenPMtPMmljacksoncorejacdatabindavenPMchecommonscommonsavenbrainskotlinkotlinavencommonsio:commons-ioaventplotlibreclojureavenPMtlomboklombokavenLactdomPMgistmentPMavenodegsongsonavenmsorgslfjslfjlogj2avenssertjassertjcoreavenyiigistportmsms(2)從未公開(kāi)披露過(guò)漏洞的關(guān)鍵基礎(chǔ)開(kāi)源軟件占比進(jìn)一步升高開(kāi)源項(xiàng)目，也有很多沒(méi)有漏洞披露流程的開(kāi)源項(xiàng)目。(3)關(guān)鍵基礎(chǔ)開(kāi)源軟件的整體運(yùn)維風(fēng)險(xiǎn)仍處于較高水平廠或者基金會(huì)的支持，比去年還減少了一款，依然有9款軟件的Github貢獻(xiàn)者數(shù)量小于100，NPM生態(tài)中的fs-extra還是由JP四、國(guó)內(nèi)企業(yè)軟件開(kāi)發(fā)中開(kāi)源軟件應(yīng)用狀況1、開(kāi)源軟件總體使用情況分析(1)平均每個(gè)軟件項(xiàng)目使用155個(gè)開(kāi)源軟件量(2)流行開(kāi)源軟件被超4成的軟件項(xiàng)目使用ApacheCommonsLang6%SimpleLoggingFacadeforJava(SLF4J)43.1%CommonsIOApacheCommonsCodecNprocessortpClientamework7.1%ApacheCommonsCollections2、開(kāi)源軟件漏洞風(fēng)險(xiǎn)分析(1)近8成軟件項(xiàng)目存在容易利用的開(kāi)源軟件漏洞(2)平均每個(gè)軟件項(xiàng)目存在110個(gè)已知開(kāi)源軟件漏洞漏洞(涉及到8289個(gè)唯一CVE漏洞編號(hào))，平均每個(gè)軟件項(xiàng)目存在(3)影響最廣的開(kāi)源軟件漏洞存在于超4成的軟件項(xiàng)目中從漏洞的影響度來(lái)分析，影響范圍最大的開(kāi)源軟件漏洞為CVE-EFasterXMLjackson-databindCVE20039%FasterXMLjackson-databindCVE20049%SpringFramework洞CVE3-208610%SpringFramework洞CVE3-208639%ApacheCommonsFileUploadCVE3-24998SpringFramework遠(yuǎn)程代碼CVE2-22965SpringFramework輸入驗(yàn)證CVE2-22970VmwareSpringFramework代CVE16-1000027FasterXMLjackson-databindCVE3-351167.1%VmwareSpringFramework安CVE2-22968稱ESpringFramework遠(yuǎn)程代碼執(zhí)行漏洞CVE2-22965VmwareSpringFramework代碼問(wèn)題CVmwareSpringFramework安全漏洞CVE1-220604.1%VmwareSpringFramework安全漏洞CVE1-22096ApacheHttpClient安全漏洞CVE2020-13956CVE2020-11022CVE2020-11023CVE2019-11358Fastjson碼問(wèn)題漏洞CVE2-25845FasterXMLjackson-databind代碼CVE840(4)20多年前的開(kāi)源軟件漏洞仍然存在于多個(gè)軟件項(xiàng)目中ECVE2-00592002-03-15LibPNG超闊頁(yè)邊空白圖象處理CVE2-06601CVE-2002-13632-264LinuxKernel混雜模式狀態(tài)漏洞CVE-2002-197612-311CVE3-01072-23CVE4-02302004-08-181CVE4-04212004-08-181MicrosoftMSNMessengerPNG圖片解析遠(yuǎn)程代碼執(zhí)行漏洞CVE4-05971-234libpngpng_handle_iCCPNULLCVE4-05981-234libpng逐行讀取遠(yuǎn)程整數(shù)溢出CVE4-05991-2343、開(kāi)源軟件許可協(xié)議風(fēng)險(xiǎn)分析(1)最流行的開(kāi)源許可協(xié)議在超半數(shù)的項(xiàng)目中使用eApacheLicense2.0MITLicenseBSDClause"New"or"Revised"LicenseGNUGeneralPublicLicensev2.0onlyGNUGeneralPublicLicensev1.0orlaterGNUGeneralPublicLicensev2.0orlater.7%icDomain%BSDClause"Simplified"License.3%GNUGeneralPublicLicensev3.0only(2)1/6的項(xiàng)目使用了含有超、高危許可協(xié)議的開(kāi)源軟件碼”等。奇安信代碼安全實(shí)驗(yàn)室將限制性較為苛刻的一類協(xié)議定義為超議GNUGeneralPublicLicensev3.0onlyGNUGeneralPublicLicensev3.0orlaterGNUAfferoGeneralPublicLicensev3.0onlyGNULesserGeneralPublicLicensev3.0onlyGNULesserGeneralPublicLicensev3.0orlaterGNUFreeDocumentationLicensev1.2GNUFreeDocumentationLicensev1.2only7GNUGeneralPublicLicensev3.0orlater7GNUGeneralPublicLicensev3.0only21GNUGeneralPublicLicensev2.0onlyGNUGeneralPublicLicensev2.0orlaterGNULesserGeneralPublicLicensev2.1orlaterGNULibraryGeneralPublicLicensev2orlaterGNULesserGeneralPublicLicensev2.1onlyMozillaPublicLicense1.1EclipsePublicLicense1.0CreativeCommonsAttributionShareAlike0UnportedGNULibraryGeneralPublicLicensev2onlyGNULesserGeneralPublicLicensev2.1only4、開(kāi)源軟件運(yùn)維風(fēng)險(xiǎn)分析(1)近30年前的老舊開(kāi)源軟件版本仍在被使用613.1-31-05-0932001-12-1582002-05-141jaxen-corefromjdom1.115-244ApacheXalan-035(2)開(kāi)源軟件各版本使用依然混亂量ameworkodeApacheTomcatotNettyProjectHibernateORMestContextFrameworkNprocessor5、不同行業(yè)軟件項(xiàng)目開(kāi)源使用風(fēng)險(xiǎn)分析(1)各行業(yè)軟件項(xiàng)目分布情況軟件項(xiàng)目按行業(yè)分布情況2.8%229,8.7%9%(2)各行業(yè)軟件項(xiàng)目使用開(kāi)源軟件情況件較少，9409402001860(3)各行業(yè)軟件項(xiàng)目含已知開(kāi)源軟件漏洞情況0各行業(yè)軟件項(xiàng)目含已知開(kāi)源軟件漏洞平均數(shù)量(個(gè))122