版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
2023中国软件供应链安全分析报告奇安信代码安全实验室2023
7o1目
录一、概述
....................................................................................................11、软件供应链安全攻üÏ件依然高发...............................................12、开源软件安全是软件供应链安全的重中之重...............................3Ð、国内企业自主开发源代码安全状况................................................51、编程语言分布情况
...........................................................................52、典型安全缺陷检û情况
...................................................................6三、开源软件生态发展P安全状况........................................................71、开源软件生态发展状况分析
...........................................................72、开源软件源代码安全状况分析
.......................................................9ÿ1Ā编程语言分布情况..................................................................10ÿ2Ā典型安全缺陷检û情况..........................................................10ÿ3Ā安全问题修复确认情况..........................................................113、开源软件}开报告漏洞状况分析.................................................11ÿ1Ā大型开源项目漏洞总数及度增长
TOP20
.........................12ÿ2Ā主流开源软件包生态系统漏洞总数及度增长
TOP20
.....144、开源软件活跃度状况分析
.............................................................15Iÿ1Ā超
7成开源软件项目处于O活跃状态..................................16ÿ2Ā超
2.2万个开源软件一内更新发布超过
100个版本.......165、关键基础开源软件分析
.................................................................17ÿ1Ā主流开源生态关键基础开源软件
TOP50
.............................17ÿ2ĀÐ未}开披露过漏洞的关键基础开源软件占比进一步升高............................................................................................................20ÿ3Ā关键基础开源软件的整体ß维风险Ï处于较高水..........20四、国内企业软件开发中开源软件应用状况......................................211、开源软件总体使用情况分析
.........................................................21ÿ1Ā均每个软件项目使用
155个开源软件..............................21ÿ2Ā流行开源软件被超
4成的软件项目使用..............................222、开源软件漏洞风险分析
.................................................................22ÿ1Āà
8成软件项目存在容易利用的开源软件漏洞..................22ÿ2Ā均每个软件项目存在
110个已知开源软件漏洞..............23ÿ3Ā影响最广的开源软件漏洞存在于超
4成的软件项目中......24ÿ4Ā20
多前的开源软件漏洞Ï然存在于多个软件项目中.....253、开源软件许可协议风险分析
.........................................................26ÿ1Ā最流行的开源许可协议在超半数的项目中使用..................26ÿ2Ā1/6的项目使用了含p超、高危许可协议的开源软件........26II4、开源软件ß维风险分析
.................................................................28ÿ1Āà
30前的老旧开源软件版本Ï在被使用........................28ÿ2Ā开源软件各版本使用依然混乱..............................................295、O\行业软件项目开源使用风险分析.........................................29ÿ1Ā各行业软件项目分布情况......................................................29ÿ2Ā各行业软件项目使用开源软件情况......................................30ÿ3Ā各行业软件项目含已知开源软件漏洞情况..........................31五、典型软件供应链安全风险实例分析..............................................321、某主流企业级无线路由器供应链攻ü实例分析.........................322、ZCS
协\办}系统供应链攻ü实例分析.....................................333、多款国产操作系统供应链攻ü实例分析.....................................354、某国产
CMS
系统供应链攻ü实例分析.......................................37~、总结及建议
......................................................................................39附录:奇安信代码安全实验室简介......................................................42III一、概述过去的N,各界对软þ供à链安全的s注度依然高涨,相s安全攻üÏþ也持续增à2~m,奇安信代码安全实验室在前n期:中ÿ软þ供à链安全V析ç告;ÿ/threat/reportdetail?report_id=161Ā的基础P,èû本V析ç告2作~该系列度V析ç告的第O期,本ç告继续针对ÿ内企业自开发的源代码1开源软þ生态1ÿ内企业软þ开发中开源软þà用等的安全状况,以及y型à用系统供à链安全风险实例ßÌ深入V析,并总结势和Ù化2相比于去的ç告,本ç告p以Q新增之处ÿ在开源软þ生态发展P安全部V新增了开源项目维æ者对他人ð交安全问题的修复确认情况Ā在企业软þ开发中的开源软þà用部V新增了对O\Ì业软þ项目开源使用风险的V析,对开源许ÿ`¯的风险V析V别统计了超t和高t开源许ÿ`¯的使用情况Ā在y型软þ供à链安全风险实例部V,通过多个新的实例再次验证了因软þ供à链的复g性,开源软þ的<老漏洞=发挥<0day漏洞=攻ü作用的状况2感t趣的读者阅读时ÿÞ点s注P述Ù化之处21、软件供应链安全攻üÏ件依然高发在过去的N中,针对软þ供à链的安全攻üÏþ持续增à,r的t害也愈发oÞ22022
7o,攻ü者通过在
NPMP发布包时绕过ß因子认证1(2FA),创建了
1000多个用户账号,攻ü者利用àß账号自ú投1283个包含挖矿脚本
eazyminer的恶意模块,利用数据ß1Web等所在服á器的机器闲置资源ßÌ挖矿,如果开发者安装了àß包,则b在被调用时挖掘门罗币22022
11
o,美ÿ
FBI
和
CISA
发布联合|告指û,未x]的伊朗组ÿ利用
Log4Shell漏洞入侵了美联邦民ÏÌ部门
FCEBQ属机构的NĀ未修复的
VMware
Horizon服á器,并部署了挖矿恶意软þ
XMRig2FBI和
CISAð到,所p尚未修复
VMware系统中
Log4Shell漏洞的机构都ÿ能遭Øm类攻ü22022
12o,安全研究人员发现了
GitHub
Actions的N个oÞ漏洞,该漏洞ÿ
r恶意软þ植入攻ü,ß而响使用
GitHubActions的软þ项目,如Q游软þ项目以恶意代码编译更新等2GitHub证实了该问题的`在,并颁发了赏金,Rust修复了易Ø攻ü的管道22023
2o,半导体Ì业技术巨头
Applied
MaterialsĀÿwN家要的供à商因遭Ø勒索软þ攻ü而被迫中断生产,à将响w第Ð季度的交付2该攻üÏþ及l在ßÌ的w他供à链挑战将使w第Ð季度的r本增àþ
2.5亿美元22023
3o,安全研究人员发现,à联网语音`¯交换机ÿVoIPIPBXĀ软þ开发厂商
3CX的
VoIP桌面ü户端在通过
GitßÌ构建时,注入了因供à链攻ü而引入的恶意代码,并使用合法的
3CX
Ltd证书ßÌ了数_签],w中N个恶意
DLL是利用了N个`在à
10
的Windows签]验证漏洞(CVE-2013-3900)通过签]的2`用户安装à2用时,bà载恶意
DLL,ß而收集系统信息1窃×数据和凭据等,r敏感数据泄露23CX
Phone
System被全球超
60万家企业使用,每y用户超过
1200万22023
5o,网þ安全研究员对用于
Linux和
UnixĀ的热门开源à联网路由`¯套þ
FRRouting
中网s`¯
BGP
的
7
种O\实现软þßÌ了V析,发现`在O个漏洞,它们的
CVSS评V均~
6.5,ÿ被用于在易Ø攻ü的
BGP
对等体P实现拒ÿ服á条þ2目前FRRouting用于多家厂商如
NVIDIACumulus1DENT和
SONiC中22、开源软件安全是软件供应链安全的重中之重奇安信代码安全实验室通过数据V析发现,P前n相比,开源软þ自身的安全状况持续Q滑,ÿ内企业软þ开发中因使用开源软þ而引入安全风险的状况更à糟糕2m外,开源项目维æ人员对安全问题的修复ÿ极性较P2开源软þ供à链安全风险管ç依然值得持续s注,需要更大的投入21Ā开源生态发展依然迅猛,开源软þ自身安全状况持续Q滑过去N,流开源软þ包生态系统中开源项目总量增长了25.1%,开源生态发展依然迅猛2Pm\时,开源软þ漏洞数量也持续增长,2022新增的开源软þ漏洞~
7682个ĀO来O活跃的开源项目占比Ð
61.6%169.9%
渐升高ó
72.1%2据<奇安信开源项目检测计划=的实测数据显示,O来开源软þ的总体缺陷密度和高t缺陷密度呈现û
P升的势,均处于较高水Ā十类y型缺陷3的总体检û率~
72.3%,P去
73.5%相`,à高于前的
56.3%2总体来看,开源软þ自身的安全问题愈发o峻22Ā开源项目维æ者对安全问题的Þ视度和修复ÿ极性较P2022,<奇安信开源项目检测计划=共U各被测开源项目的维æ者à馈
1484
个安全问题,仅p
547
个得到确认并修复,w他
937个à馈O修复1未à馈,或无人处理,安全问题的修复率仅~
36.9%2另据统计发现,N个安全问题Ðð交到维æ人员à馈确认并修复,时间较长的ÿ长达N甚ó更久23Āÿ内企业因使用开源软þ而引入安全风险的状况更à糟糕2022,奇安信代码安全实验室对
2631个ÿ内企业软þ项目中使用开源软þ的情况ßÌV析发现ÿ均每个项目使用
155个开源软þ,à高于之前的
126和
127个Ā`在已知开源软þ漏洞的项目占比达
91.6%,均每个项目`在
110个已知开源软þ漏洞,项目中最ô老的开源软þ漏洞的发现时间ÿ追溯ó
21
前Ā1/6
的项目中使用了含p超t或高t许ÿ`¯的开源软þĀà
30
前的老ç开源软þx本Ï然在使用,\N开源软þ各x本的使用依然混乱2整体的安全风险状况P前n相比更à糟糕,风险水Ï处于较高状态2另N方面,s们发现
2022
许多机构和企业更às注开源软þ供à链安全,Nß机构和企业基于规范的流程,在开源安全治理工x的辅ûQ开展相s工作2但Ð目前ÿ内企业软þ开发中使用开源软þ的安全风险状况来看,àß经验1方法和工xß需要ßNn的持续è广和à用24Ð、国内企业自主开发源代码安全状况软þ源代码安全是软þ供à链安全的基础22022全,奇安信代码安全实验室对
1589
个ÿ内企业自开发的软þ项目源代码ßÌ了安全缺陷检测,检测的代码总量~
347814428Ì,共发现安全缺陷3751450个,w中高t缺陷
300459个,整体缺陷密度~
10.78个/千Ì,高t缺陷密度~
0.85个/千Ì2P前n相比,整体缺陷密度略微升高,高t缺陷密度较去p所à,但P于前水2自主开发软件均缺陷密度三对比1210.7810.119.8510864201.080.850.65202120202022缺陷密度(个/千行)高危缺陷密度(个/千行)1、编程语言分布情况在
1589个ÿ内企业自开发的软þ项目中,共使用了
14种编程语言,使用数量排]前
3的~
Java1C/C++1NodeJS,对à的软þ项目数量V别~
1209
个1105
个和
60
个,w中
Java
语言项目占比达76.1%2ÿ以看û,ÿ内企业在ßÌ软þ开发时,Java语言Ï然是首,`比例更大2编程语言的V布情况如QĀ所示25OC,8,0.5%Ruby,
8,0.5%Go,24,
1.5%SQL,
7,0.4%Scala,6,
0.4%Swift,
5,0.3%Cobol,5,0.3%Kotlin,
4,
0.3%Python,
40,
2.5%C#,54,
3.4%PHP,
54,
3.4%NodeJS,60,
3.8%C/C++,
105,
6.6%JAVA,
1209,76.1%国内企业自主开发的软件项目编程语言总体分布情况2、典型安全缺陷检û情况V析
1589
个软þ项目的源代码缺陷检测结果发现,注入1密码管理1å志伪
1跨站脚本1NULL引用1配置管理1输入验证1资源管理1路径遍历1API误用等十类y型安全缺陷的总体检û率ÿ检û率指含p某类缺陷的软þ项目数占软þ项目总数的比例Ā~
74.1%,高于去ç告的
59.9%,P前的
77.8%相`2每类y型缺陷àO的检û率及排]情况如Q表所示2排]
2022检û率及排]2021检û率及排]2020检û率及排]12345678输入验证ÿ50.5%Ā跨站脚本ÿ44.2%Ā资源管理ÿ43.3%Ā输入验证ÿ41.8%Ā跨站脚本ÿ35.1%ĀAPI误用ÿ31.5%Ā输入验证ÿ50.8%Ā路径遍历ÿ39.6%Ā跨站脚本ÿ39.5%Ā注入ÿ37.3%ĀNULL引用ÿ43.1%Ā
NULL引用ÿ30.2%Ā注入ÿ40.1%Ā路径遍历ÿ40.0%Ā密码管理ÿ30.3%ĀAPI误用ÿ30.1%Ā资源管理ÿ29.9%Ā
NULL引用ÿ31.8%Ā路径遍历ÿ28.4%Ā注入ÿ26.3%Ā资源管理ÿ31.6%Ā密码管理ÿ31.0%ĀAPI误用ÿ28.7%Ā密码管理ÿ22.8%Ā69配置管理ÿ24.8%Āå志伪
ÿ17.6%Ā配置管理ÿ18.2%Āå志伪
ÿ12.5%Ā配置管理ÿ28.0%Āå志伪
ÿ18.2%Ā10Ð表中ÿ以看û,O来,输入验证1跨站脚本1NULL引用是检û率较高的缺陷类型,配置管理和å志伪
类缺陷检û率较P2除
API误用类缺陷的检û率略pQ降外,w他类型缺陷的检û率均比去pO\程度的升高,又普遍回到或超过了前的水2ÿ内企业在自开发软þ代码的安全质量方面O能ì以轻心2三、开源软件生态发展P安全状况开源软þ在现代软þ开发中的基础作用已得到普遍认ÿ2本度ç告依然Ð开源软þ生态发展状况1开源软þ源代码安全状况1开源软þ|开ç告漏洞状况1开源软þ活跃度状况1s键基础开源软þV析等五个方面对
2022
开源软þ生态发展P安全状况ßÌ综合V析21、开源软件生态发展状况分析据奇安信代码安全实验室的监测和统计,2021á和
2022á,流开源软þ包生态系统中开源项目总量V别~
4395386个和5499977,N间增长了
25.1%Ā截ó
2022á,流开源软þ包生态系统中均每个开源项目p
12.6个x本,较前nç告的
11.8个和
10.2个呈持续增长的势2ÿ以看û,2022开源软þ生态依然繁荣2对
Maven1NPM1Packagist1Pypi1Godoc1Nuget1Rubygems17Swift等{个y型开源软þ包生态系统的x体V析如QÿNPM包生态项目数量依然最多,Godoc包生态增依然最快2àN状况P前nç告保持Nô2{个y型的开源软þ包生态系统中开源项目数量和增长率情况如QĀ所示,w中开源项目数量最多的是NPM
包生态系统,截ó
2022
á,w开源项目数量达到了
2328687个,à高于w他开源包生态Ā开源项目数量增最快的是
Godoc包生态系统,2022N间的项目总量增达到了
55.8%,Nuget的增长也很快,达
53.6%2典型开源软件包生态系统中项目数量变化情况25000002000000150000010000005000000RubygemMavenNPMPackagistPypiGodocNugetSwifts2021数量
542743
1892984
3405412022数量
656090
2328687
38262335297343897324.4%32826151158755.8%37561457680053.6%1684361736913.1%82999901368.6%增长率20.9%23.0%12.4%Maven和
NPM包生态系统的开源项目开发者Ï然是<最勤奋=的,开源项目的均x本数超过
13个2截ó
2022á,{个y型的开源软þ包生态系统的开源项目数量和x本数量如Q表所示2w中,Maven包生态系统均每个开源项目p高达
21.9
个x本,也是均x本数增长最快的包生态系统Āw他增长较快的ßp
Packagist
和
GodocĀNuget是开源项目均x本数唯N降P的包生态系统,Ð去的
12.7降~今的
11.028序号
包生态系统
2022项目数2022版本数均版本数12345678MavenNPM65609023286873826234389735115875768001736919013614348900312153624551007423654648178926344100129036860481621.913.411.99.7PackagistPypiGodoc9.4Nuget11.07.4RubygemsSwift6.72、开源软件源代码安全状况分析2022
全,<奇安信开源项目检测计划=对
2098
个开源软þ项目的源代码ßÌ了安全检测,代码总量~
173174712Ì,共发现安全缺陷
3646486个,w中高t缺陷
222640个,整体缺陷密度~
21.06个/千Ì,高t缺陷密度~
1.29
个/千Ì2O来缺陷密度和高t缺陷密度均呈现û
P升的势2开源软件均缺陷密度三对比2521.062016.1114.96151051.2920220.9520200.9920210缺陷密度(个/千行)高危缺陷密度(个/千行)9ÿ1Ā编程语言分布情况2022
检测的
2098
个开源项目中,共î及
10
种编程语言,V别是
Java1C/C++1Python1OC1Go1JavaScript1Kotlin1Scala1Ruby和
PHP,编程语言的V布情况如QĀ所示2开源项目编程语言总体分布情况Scala,
39,1.9%PHP,51,2.4%OC,101,
4.8%Ruby,50,2.4%Go,28,
1.3%Java,
704,33.6%Kotlin,
109,5.2%Javascript,
298,14.2%C/C++,
346,16.5%Python,372,17.7%ÿ2Ā典型安全缺陷检û情况对
2098
个开源软þ项目的缺陷检测结果V析发现,注入1密码管理1å志伪
1跨站脚本1NULL引用1配置管理1输入验证1资源管理1路径遍历1API误用等十类y型安全缺陷的总体检û率~
72.3%,P去的
73.5%相`,但à高于前的
56.3%2每类y型缺陷àO的检û率及排]情况如Q表所示2排]
2022检û率及排]2021检û率及排]路径遍历ÿ36.7%Ā2020检û率及排]12资源管理ÿ35.0%Ā输入验证ÿ50.8%Ā路径遍历ÿ39.6%ĀNull引用ÿ31.7%Ā
Null引用ÿ36.5%Ā1034输入验证ÿ29.5%Ā路径遍历ÿ28.6%Ā注入ÿ21.8%Ā资源管理ÿ33.0%Ā输入验证ÿ25.1%Ā跨站脚本ÿ39.5%Ā注入ÿ37.3%Ā5密码管理ÿ23.5%Ā
Null引用ÿ31.8%Ā6API误用ÿ18.6%Āå志伪
ÿ17.3%Ā跨站脚本ÿ10.9%Ā配置管理ÿ9.4%Ā密码管理ÿ7.5%Āå志伪
ÿ22.9%Ā注入ÿ21.4%Ā资源管理ÿ31.6%Ā密码管理ÿ31.0%ĀAPI误用ÿ28.7%Ā配置管理ÿ28.0%Āå志伪
ÿ18.2%Ā78API误用ÿ18.2%Ā跨站脚本ÿ15.0%Ā配置管理ÿ10.8%Ā910ÿ以看û,àOy型缺陷的检û率和排]均pO\程度的Ù化2总体而言,除资源管理类缺陷小幅P升,输入验证1å志伪
类缺陷PQ浮ú外,w他
7类缺陷的检û率均呈现û总体Q降的势2ÿ3Ā安全问题修复确认情况2022,<奇安信开源项目检测计划=共U各被测开源项目维æ者à馈
1484个安全问题ÿissuesĀ,w中
547个得到确认并修复,w余的
937个à馈O修复1未à馈,或无人处理ÿissues状态~
OpenĀ,修复率仅~
36.9%2开源项目维æ者对安全问题的Þ视程度ß较P2通过对àß
issues生命周期的V析发现,N个
issue
Ðð交到维æ人员à馈确认并修复的时间,最快~N周,较长的ÿ长达N甚ó更久23、开源软件}开报告漏洞状况分析据奇安信代码安全实验室监测P统计,截ó
2022
á,CVE/NVD1CNNVD1CNVD
等|开漏洞ß中共收录开源软þ相s漏洞1157610个,w中p
7682个漏洞~
2022新增2ÿ1Ā大型开源项目漏洞总数及度增长
TOP20截ó
2022á,历史漏洞总数排]前
20的大型开源项目信息如Q表所示2Linux
Kernel1Chromium
Chrome)和
MozillaFirefox已â续O排]前
32历史漏序号大型开源项目主页地址//洞总数1
LinuxKernel5337Chromium230722440(GoogleChrome)/en-US/firefox/3
MozillaFirefox4
Thunderbird5
MySQL/zh-CN//14271346AdobeFlash6/products/flashplayer/end-of-life.html1089Playerplugin7
linux-aws8
GitLab/855786770759740764642635649//9
linux-gcp10
linux-azure11
PHP//12
SeaMonkey13
ImageMagick14
Wireshark15
WebKitGTK//index.php///en-US/firefox/enterprise/16
FirefoxESR97617
OpenJDK18
Moodle19
Jenkins//585495483https://www.jenkins.io/12XenProject(Hypervisor)20/4862022N间,|开ç告漏洞数量增长排]前
20的大型开源项目信息如Q表所示,Linux
Kernel
依然是N来增à漏洞最多的项目,达到
579个22022
漏洞增量序号大型开源项目主页地址1
LinuxKernel//579Chromium(GoogleChrome)2356169/en-US/firefox/3
MozillaFirefox4
TensorFlow5
GitLab6
MySQL///165161160/zh-CN/7
Thunderbird1278
Jenkins9
Vimhttps://www.jenkins.io//117115/en-US/firefox/enterprise/10
FirefoxESR10611
gpachttp://gpac.io/9888777473666012
TeXLive13
linux-aws14
linux-azure15
linux-gcp16
Microweber17
MariaDB/texlive//////XenProject18//6249(Hypervisor)19
LiferayPortal1320
Radare/48ÿ2Ā主流开源软件包生态系统漏洞总数及度增长
TOP20截ó
2022
á,流开源软þ包生态系统中历史漏洞总数排]前
20的开源软þ信息如Q表所示2序号1
TensorFlow开源软件所属包生态系统
历史漏洞总数PypiNugetMaven4103212272
ChakraCore3
JenkinsElectron-Cross-platformdesktopapplicationshell4NPM1961891835
ApacheTomcatElectron-Cross-platformdesktopapplicationshellMavenMaven67
TYPO3CMS8
OpenSSLPackagistConan149147130119117116105989
FFmpeg-iOS10
MagentoCore11
RubyonRails12
phpMyAdmin13
OpenSSLSwiftPackagistRubygemsPackagistSwift14
DjangoPypi15
DolibarrERP&CRM16
Drupal(core)17
PlonePackagistPackagistPypi96939118
silverstripe-framework19
keycloakPackagistMaven898520
DjangoConda842022
N间,流开源软þ包生态系统中|开ç告漏洞数量14增长排]前
20的开源软þ信息如Q表所示2序号开源软件所属包生态系统
2022
漏洞增量1
TensorFlow2
XWikiPypi16544MavenElectron-Cross-platformdesktopapplicationshellElectron-Cross-platformdesktopapplicationshell34NPM4441Maven5
rdiffWebPypiPackagistMaven403030282320202020191918181717166
pimcore7
ms-mcms8
Goprogramminglanguage9
ShowDocGodocPackagistNPM10
grafana11
librenmsPackagistPackagistGodoc12
CodeIgniter13
Mattermost14
GLPIPackagistMaven15
Jenkins16
incubator-airflow17
TYPO3CMS18
libTIFFPypiPackagistConan19
Rocket.Chat20
XWikiPlatformNPMMaven4、开源软件活跃度状况分析s们依然把活跃度作~衡量开源软þ安全性的N个维度2O活跃的开源软þ,Næû现安全漏洞,难以得到及时的修复Ā活跃的开源软þ中,如果wx本更新发布的频率过高,\b增à使用者ß维的15r本和安全风险2ÿ1Ā超
7成开源软件项目处于O活跃状态s们将超过N未更新发布过x本的开源软þ项目定O~O活跃项目22022全,流开源软þ包生态系统中O活跃的开源软þ项目数量~
3967204
个,占比高达
72.1%,P去的
69.9%和前的61.6%相比,呈现û
升高的势2对{个y型的开源软þ包生态系统ßÌV析和比较发现,除Nuget外,w他各包生态系统中O活跃项目的占比较去ç告数据均p小幅升高,Nuget则Ð去的
68.1%大幅Q降ó
54.3%2NPM的O活跃项目数量最多,达
1693287个,Rubygems的O活跃项目比例Ï~最高,占比高达
90.5%2x体数据见Q表2序号
包生态系统项目总数O活跃项目数O活跃项目比例12MavenNPM65609023286873826234389735115875768001736919013645155716932872834082894683484573134491572307854868.8%72.7%74.1%65.9%68.1%54.3%90.5%87.1%3
Packagist45678PypiGodocNugetRubygemsSwiftÿ2Ā超
2.2万个开源软件一内更新发布超过
100个版本2022
全,流开源软þ包生态系统中,更新发布
100
个以Px本的开源项目p
22403
个,明显高于去的
19265
个和前的1613411个,P包生态系统中项目数量相\,呈现û
P升的势2{个y型的开源软þ包生态系统中,N内更新发布超过
100个x本的项目数量见Q表2一内发布超过
100个版本的项目数量排]包生态系统对应的开发语言12345678NPMMavenJavascriptJava1258136962250157298988924818Nuget.NETGodocGoPypiPythonPHPPackagistRubygemsSwiftRubySwift5、关键基础开源软件分析去的ç告中,s们新增了<s键基础开源软þ=
安全状况V析,即被_多w他开源软þ所依赖ÿ据经验x体定O~直接依赖数大于
1000Ā的N类开源软þ2今的ç告中延续了该部V内容,继续对àN类软þ的安全性ßÌV析2ÿ1Ā主流开源生态关键基础开源软件
TOP50去ç告中ð到,Ð安全的视角来看,如果开源软þû现漏洞^,r的大效à大,响的范围广,那Nà个软þ就Þ要2本ç告依然将直接依赖数大于
1000
的开源软þ定O~s键基础开源软þ217V析发现,截k
2022á,Maven1NPM1Nuget1Pypi1Packagist1Rubygems等流开源生态中直接依赖数大于
1000的开源软þ共p1254款,较
2021áP涨
17.4%,直接依赖数排]
TOP50的软þ如Q表2开源软þ
junit:junit的直接依赖数â续nO居榜首,今达
102980,较去增à了
7366,也就是说N之中新增
7366款开源软þ直接依赖于它2ApacheLog4j2依然排在
100]以外2排]开源软件所属包生态系统直接依赖数1
junit:junit2
rakeMavenRubygemsMavenRubygemsRubygemsNugetMavenNPM10298079723746106943059289565645637854913466014496241314398343798833989319283158930330292543
org.scala-lang:scala-library4
bundler5
rspec6
Newtonsoft.Json7
org.slf4j:slf4j-api8
tslib9
numpyPypi10
requestsPypi11
chalkNPM12
commanderNPM13
lodashNPM14
illuminate/support15
expressPackagistNPM16
guzzlehttp/guzzle17
pandasPackagistPypi18
com.google.guava:guavaMavenorg.jetbrains.kotlin:kotlin-stdlib-common19MavenNPM291652838620
axios1821
pytestPypiMavenNPM27525267702669125821256902542322
ch.qos.logback:logback-classic23
inquirer24
org.mockito:mockito-core25
reactMavenNPM26
requestNPMcom.fasterxml.jackson.core:jackson-databind27MavenNPM23215223812216828
fs-extramons:commons-29Mavenlang3org.jetbrains.kotlin:kotlin-stdlib-jdk830Maven2209131
commons-io:commons-io32
matplotlibMavenPypi21855204181895918194181121763816526163871628714788147561465714624145481405113988139491376233
scipyPypi34
org.clojure:clojure35
typescriptMavenNPM36
jectlombok:lombok37
PyYAMLMavenPypi38
react-domNPM39
laravel/framework40
clickPackagistPypi41
momentNPM42
log4j:log4jMavenMavenRubygemsMavenMavenPypi43
com.google.code.gson:gson44
pry45
org.slf4j:slf4j-log4j1246
org.assertj:assertj-core47
odoo48
yiisoft/yii2Packagist1949
activesupport50
railsRubygemsRubygems1313713105ÿ2ĀÐ未}开披露过漏洞的关键基础开源软件占比进一步升高开源软þ漏洞披露依然表现û参差O齐的状况,既p漏洞披露流程很l规的`秀开源项目,也p很多没p漏洞披露流程的开源项目2对
2022的数据V析发现,在
1254款s键基础开源软þ中,p
905款Ð未|开披露过漏洞,占比~
72.2%,高于去ç告中的
66.6%2rà种现象的要原因没Ù,依然pn个,即p的开源软þ,特别是p的开源社|中的软þ,漏洞虽然已被修复了,但没p±录和|开Ā另N方面是对Nß开源软þ安全性的s注度O够,对它们漏洞挖掘的研究ßO多2ÿ3Ā关键基础开源软件的整体ß维风险Ï处于较高水Ð<x本更新时间=和<周ð交频率=n个维度来V析,依然p超
4r的s键基础开源软þ活跃度很P2w中,半内没p发布过新x本的s键基础开源软þp
520款,占比~
41.5%,P去数据相`ĀN内周均ð交次数小于
5
和小于
1
的s键基础开源软þ数量V别~
817和
510,占比V别~
65.2%140.7%,n项指标明显高于去的
47.1%和
31.3%,说明s键基础开源软þð交的ÿ极性p所降P2在
TOP50的s键基础开源软þ中,只p
23款软þ明确已获得大厂或者基金b的支持,比去ß减少了N款,依然p
9
款软þ的20Github
贡献者数量小于
100,NPM
生态中的
fs-extra
ß是由
JPRichardson个人来维æ的2整体来看,s键基础开源软þ的ß维安全状况未见改善,Ï处于较高水2四、国内企业软件开发中开源软件应用状况2022,奇安信代码安全实验室对
2631个ÿ内企业软þ项目中使用开源软þ的情况ßÌ了V析,àß软þ项目的à用领域î及中小企业1金融1|共服á管理1通信1交通和能源等
6个Ì业21、开源软件总体使用情况分析ÿ1Ā均每个软件项目使用
155个开源软件在被V析的
2631个ÿ内企业软þ项目中,全部使用了开源软þ,使用率~
100%2最多的项目使用了
5695个开源软þ,均每个项目使用
155
个开源软þ,较前n的
127
个和
126
个p较大幅度的增à2使用开源软þ最多的
10个项目情况如Q表所示2项目]称使用的开源软件数量项目
1项目
2项目
3项目
4项目
5项目
6项目
7569548444646432837923630336721项目
8项目
9项目
10265724522330ÿ2Ā流行开源软件被超
4成的软件项目使用在V析的
2631
个ÿ内企业软þ项目中,使用最多的开源软þ~Apache
Commons
Lang,被
1146个项目所使用,占比高达
43.6%,à高于去的
36.2%和前的
24.3%2被使用最多的前
10]开源软þ如Q表所示2开源软件]称ApacheCommonsLang使用的项目数被使用率1146113510351026101799643.6%43.1%39.3%39.0%38.7%37.9%SimpleLoggingFacadeforJava(SLF4J)CommonsIOlog4jApacheCommonsCodecJacksonJSONprocessorApache
HttpComponents
Client(aka
ApacheHttpClient)98837.6%SpringFramework98697697337.5%37.1%37.0%jackson-databindApacheCommonsCollections2、开源软件漏洞风险分析ÿ1Āà
8成软件项目存在容易利用的开源软件漏洞V析发现,在
2631
个ÿ内企业软þ项目中,`在已知开源软þ漏洞的项目p
2411
个,占比高达
91.6%Ā`在已知高t开源软þ漏22洞的项目p
2268
个,占比~
86.2%Ā`在已知超t开源软þ漏洞的项目p
2032个,占比~
77.2%2àO个比例均比去p所ð高2综合漏洞的
POC/EXP情况以及
CVSSÿ利用性指标等因素,s们将漏洞的利用难度V~容易1N般1困难,容易利用的漏洞风险极高2在V析的
2631个项目中,`在容易利用的漏洞的项目p
2089个
,占比~
79.4%,高于去的
77.0%2ÿ2Ā均每个软件项目存在
110个已知开源软件漏洞在
2631个ÿ内企业软þ项目中,共检û
289066个已知开源软þ漏洞ÿî及到
8289
个唯N
CVE
漏洞编号Ā,均每个软þ项目`在110个已知开源软þ漏洞,à高于前n的
69和
66个2最多的软þ项目`在
1566
个已知开源软þ漏洞2`在已知开源软þ漏洞数量排]前
10的项目情况如Q表所示2项目存在开源软件漏洞数量项目
1项目
2项目
3项目
4项目
5项目
6项目
7项目
8项目
9项目
10156615061459141114071395138812341169107323ÿ3Ā影响最广的开源软件漏洞存在于超
4成的软件项目中Ð漏洞的响度来V析,响范围最大的开源软þ漏洞~
CVE-2022-42003和
CVE-2022-42004,`在于
41.9%的软þ项目中,比去最高的
31.7%高ûþ
10%,足以说明它们响广泛22022响度排]前
10的开源软þ漏洞如Q表所示2影响项目漏洞]称CVE
编号影响度41.9%41.9%数量FasterXML
jackson-databind代码问题漏洞CVE-2022-42003CVE-2022-420041103FasterXML
jackson-databind代码问题漏洞1102SpringFramework安全漏洞SpringFramework安全漏洞CVE-2023-20861CVE-2023-208631078107741.0%40.9%Apache
Commons
FileUpload安全漏洞CVE-2023-24998CVE-2022-22965CVE-2022-22970CVE-2016-1000027CVE-2023-35116CVE-2022-229681012100699438.5%38.2%37.8%37.2%37.1%36.9%Spring
Framework
à程代码执Ì漏洞Spring
Framework
输入验证错误漏洞Vmware
Spring
Framework
代码问题漏洞979FasterXML
jackson-databind代码问题漏洞976Vmware
Spring
Framework
安全特征问题漏洞970容易利用的漏洞更易被用来发起攻ü,风险极高2响度排]前10的容易利用的开源软þ漏洞情况如Q表所示2影响项目数量容易利用的漏洞]称CVE
编号影响度Spring
Framework
à程代码执Ì漏洞CVE-2022-22965
100638.2%Vmware
Spring
Framework
代码问题漏洞CVE-2016-100002797989637.2%34.1%VmwareSpringFramework安全漏洞
CVE-2021-2206024VmwareSpringFramework安全漏洞
CVE-2021-2209688686980680677874733.7%33.0%30.6%30.6%29.6%28.4%ApacheHttpClient安全漏洞jQuery跨站脚本漏洞jQuery跨站脚本漏洞jQuery跨站脚本漏洞Fastjson代码问题漏洞CVE-2020-13956CVE-2020-11022CVE-2020-11023CVE-2019-11358CVE-2022-25845FasterXML
jackson-databind
代码问题漏洞CVE-2020-884073728.0%ÿ4Ā20多前的开源软件漏洞Ï然存在于多个软件项目中V析发现,P前nç告结果Nô,部V软þ项目中Ï然`在很久之前|开的ô老开源软þ漏洞,w中,最ô老的漏洞是
2002
3o
15
å|开的
CVE-2002-0059,距今已
21
,Ï然`在于
11
个项目中2部Vô老开源软þ漏洞的响情况如Q表所示2影响项目数量漏洞]称zlib安全漏洞CVE
编号发布日期CVE-2002-0059
2002-03-15CVE-2002-0660
2002-06-1911LibPNG
超阔ý边空Ā象处理内`破坏漏洞141Portable
Network
Graphics任意脚本à程执Ì漏洞Linux
Kernel混g模式状态漏洞CVE-2002-1363
2002-12-26CVE-2002-1976
2002-12-31zlib安全漏洞CVE-2003-0107
2003-02-23CVE-2004-0230
2004-08-18171TCP`¯安全漏洞LibPNG
O合法
PNG
界À问拒ÿ服á漏洞CVE-2004-0421
2004-08-1814Microsoft
MSN
Messenger
PNGĀ
w
解
析
à
程
代
码
执
Ì
漏
洞
CVE-2004-0597
2004-11-23(MS05-009)libpng
png_handle_iCCP
NULLCVE-2004-0598
2004-11-23指针à程拒ÿ服á漏洞44libpng漏洞Ì读×à程整数溢ûCVE-2004-0599
2004-11-23253、开源软件许可协议风险分析ÿ1Ā最流行的开源许可协议在超半数的项目中使用在
2631个被V析的ÿ内企业软þ项目中,共发现
537个开源许ÿ`¯2î及项目数最多的`¯依然是
Apache
License
2.0,在
1349个项目中使用,占比~
51.3%,虽然超过半数,但P于去的
77.1%2î及软þ项目数排]前
10的许ÿ`¯如Q表所示2开源许可协议ApacheLicense2.0涉及项目数所占比例1349105032815714712312211351.3%39.9%12.5%6.0%5.6%4.7%4.6%4.3%MITLicenseBSD3-Clause"New"or"Revised"LicenseGNUGeneralPublicLicensev2.0onlyGNUGeneralPublicLicensev1.0orlaterGNUGeneralPublicLicensev2.0orlaterPublicDomainBSD2-Clause"Simplified"LicenseGNU
Lesser
General
Public
License
v2.1
orlater91863.5%3.3%GNUGeneralPublicLicensev3.0onlyÿ2Ā1/6的项目使用了含p超、高危许可协议的开源软件pß类型的开源许ÿ`¯中包含了Nß限制性条款,在使用过程中Næáààß条款,ÿ能对企业的商业利益和声誉
roÞ的损害2àß限制性条款包括如ÿ<禁k本软þ及wÍ生品用于商业目的=1<禁k在未支付费用和x税的情况Q将该软þ用于非|开1非商业用途=1<软þ发布时必须|开软þ的源代码=等226奇安信代码安全实验室将限制性较~苛刻的N类`¯定O~超t许ÿ`¯,将限制性较大而未达到超t水的N类`¯定O~高t许ÿ`¯2在
2631
个被V析的ÿ内企业软þ项目中,`在超t许ÿ`¯的项目
142个,占比
5.4%Ā`在高t许ÿ`¯的项目
301个,占比
11.4%2含超t和高t许ÿ`¯的项目合计占比
16.8%,þ
1/62î及软þ项目数排]前
10的超t许ÿ`¯如Q表所示2超危开源许可协议涉及项目数GNUGeneralPublicLicensev3.0only8682574643187GNUGeneralPublicLicensev3.0orlaterGNUAfferoGeneralPublicLicensev3.0onlyGNULesserGeneralPublicLicensev3.0onlyGNULesserGeneralPublicLicensev3.0orlaterGNUFreeDocumentationLicensev1.2GNUFreeDocumentationLicensev1.2onlyGNUGeneralPublicLicensev3.0orlaterGNUGeneralPublicLicensev3.0only72Creative
Commons
Attribution
Non
Commercial
Share
Alike2.5Generic1î及软þ项目数排]前
10的高t许ÿ`¯如Q表所示2高危开源许可协议涉及项目数GNUGeneralPublicLicensev2.0onlyGNUGeneralPublicLicensev2.0orlaterGNULesserGeneralPublicLicensev2.1orlaterGNULibraryGeneralPublicLicensev2orlaterGNULesserGeneralPublicLicensev2.1onlyMozillaPublicLicense1.115712391787248EclipsePublicLicense1.04527CreativeCommonsAttributionShareAlike3.0UnportedGNULibraryGeneralPublicLicensev2onlyGNULesserGeneralPublicLicensev2.1only4131304、开源软件ß维风险分析开源软þß维风险复g多,ç告要Ð老ç开源软þ的使用和开源软þ多x本的使用角度ßÌV析2ÿ1Āà
30前的老旧开源软件版本Ï在被使用V析发现,P前nç告数据Nô,许多软þ项目中Ï然在使用老ç的开源软þx本,p的甚ó是à
30
前发布的x本,`在很大的ß维风险2被使用的老ç开源软þx本中,最é的N款是
1995
8o
2å发布的
IJG
JPEG
6,已经p
28之久,但Ï然被软þ项目所使用2按老ç程度排]前
10的开源软þ如Q表所示2开源软件]称IJGJPEG版本号
版本发布日期
使用它的项目数量61995-08-021996-02-071996-12-112001-02-051131IJGJPEGglut6a3.1-31.1.3zlib343libpnglibpngSaxpath1.0.12
2001-06-091.2.1
2001-12-1581.0-FCS
2002-05-141.0-FCS
2002-05-141jaxen-core
from
jdom
1.1distribution1libpng1.2.32002-05-2445ApacheXalan2.5.D1
2003-03-0328ÿ2Ā开源软件各版本使用依然混乱V析发现,各个项目中开源软þ使用的x本依然非常混乱,并非使用的都是最新x本2Spring
Framework
是被使用x本最多的开源软þ,p
181个x本在被使用,比去的
235P,但高于前的
162,说明开源软þx本使用混乱的状况依然oÞ2按照被使用x本的数量排序,排]前
10的开源软þ情况如Q表所示2开源软件]称SpringFramework被使用的版本数量181132130126118117112109109105@types/nodeApacheTomcatSpringBootNettyProjectHibernateORMjackson-databindSpringTestContextFrameworkJacksonJSONprocessorJetty5、O\行业软件项目开源使用风险分析所p
2631
个被V析的ÿ内企业软þ项目,按照à用领域1ß能属性,ÿ划_}个Ì业,即中小企业类1金融类1|共服á管理类1通信类1交通类和能源类软þ项目2ÿ1Ā各行业软件项目分布情况在
2631个ÿ内企业自开发的软þ项目中,数量排]前
3的依29次~中小型企业开发的软þ1金融类项目和|共服á管理类项目,项目数V别~
1253个11002个和
229个,它们合计占比接à
95%2被V析软þ项目按Ì业的V布情况如QĀ所示2软件项目按行业分布情况交通类,49,通信类,74,1.9%2.8%能源类,24,0.9%公共服务管理类,229,8.7%金融类,1002,中小企业类,1253,
47.6%38.1%ÿ2Ā各行业软件项目使用开源软件情况各Ì业软þ项目使用开源软þ的均数量如QĀ所示2P总体均数
155个相比,中小企业类1通信类项目的开源软þ使用均数P之相`Ā|共服á管理类1交通类1能源类项目使用开源软þ较少,均数在
80-89个之间Ā金融类项目使用开源软þ均数量最大,`à高于w他类别和总体水,达到
186个230各行业软件项目使用开源软件均数量ÿ个Ā186200150100501551481418984800ÿ3Ā各行业软件项目含已知开源软件漏洞情况各Ì业软þ项目含已知开源软þ漏洞的均数量如QĀ所示2ÿ以看û,通信类1金融类1能源类软þ项目的已知开源软þ漏洞均数高于总体,前n者已高于
120个Āw他Ì业的软þ项目虽然均漏洞数较P,但也明显高于去和前的总体均水ÿ69个和
66个Ā2各行业软件项目含已知开源软件漏洞均数量ÿ个Ā140122123116120100806040200110102979031五、典型软件供应链安全风险实例分析1、某主流企业级无线路由器供应链攻ü实例分析某ÿ×知]厂商生产的企业ÿ千兆无线路由器,广泛à用于各类企业中,对该路由器的固þßÌV析发现,固þ使用了开源工xMiniUPnPd1.92MiniUPnPd是N款ÿ用于嵌入式系统的通用即插即用开源工x,它是物联网心`¯
UPnP的N个实现2UPnP`¯允许各种网þ¿备在没p特殊¿置或配置的情况QßÌ通信,使得¿备彼m间ÿ自úâ接和`\工作2例如,新打s机通电并接入网þ^,局域网中的计算机自ú获×打s机的型号等信息,方便ßÌ驱ú安装2CVE-2020-12695是
UPnP`¯的N个高t历史漏洞,又被Ā作CallStranger漏洞,攻ü者ÿ利用它绕过内网的数据防泄漏ÿDLPĀ系统,实现数据逸,Ð而导ô敏感数据泄露Āßÿ以对¿备所在内网ßÌ扫ï,甚óß能劫持¿备ßÌV布式拒ÿ服áÿDDoSĀ攻ü2该漏洞响产品的范围非常广泛2QĀ展示了在本例的路由器P利用
CVE-2020-12695
的效果,ÿ以扫ï路由器所在内网中某机器的
222端ó是否开启,若未收到â接请求,则确定端ó开启,ß而~^续网þ攻üð供基础232本实例中,软þ供à链风险传播链条如Qÿ某流无线路由器的固þ使用开源工x
MiniUPnPd来实现
UPnP服á,`
UPnP服áß能开启时,UPnP`¯漏洞b响该路由器,对路由器所在内网ßÌ扫ï,由m引发软þ供à链攻ü22、ZCS协\办}系统供应链攻ü实例分析Zimbra
Collaboration
SuiteÿZCSĀ是N款开源`\Þ|套þ,包括邮þ服á1å历1通信录等ß能2ZCS邮þ服á器目前à用于全球
140个ÿ家的
20多万个组ÿ中,包括
1000多个府和金融机构2ZCS
的防病毒引î
Amavis
对电子邮þ中的Öþð×时使用了开源组þ
cpioÿN款
GNU/Linux
实用程序,è在ð×各种`档格式,包括.cpio1.tar和.rpm等
Ā2CVE-2022-41352
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 【正版授权】 IEC 62305-1:2024 EN-FR Protection against lightning - Part 1: General principles
- 商场营业员工作总结
- 护士思想工作总结
- 质量员-设备方向-基础(质量员)证考试题库及答案
- 全国2021年下半年高等教育自考试市场营销策划考题含解析
- 全国2021年秋10月自考本科市场营销策划00184考试试卷含解析
- 2024年下半年自考试00184市场营销策划部分真题含解析
- 2024年金属丝绳制品项目合作计划书
- 2024年陶瓷生产加工机械项目建议书
- 2024年医用空气压缩机(系统)项目建议书
- 基础考试工程地质习题集
- 吉尔吉斯签证申请表
- 硬笔书法字帖(比赛版)
- 遵义市中心城区给水专项规划
- 干混预拌砂浆储罐基础施工方案完整
- 浅谈三角形中位线定理的几种证法
- 一年级数学老师家长会 (2)
- 北京市建设工程质量监督注册登记表(公用)
- 小学数学教师说题稿(颜)
- 八十个常见象形字(共4页)
- PI-外贸PI-模板
评论
0/150
提交评论