2023中国软件供应链安全分析报告-2023.08

2023中国软件供应链安全分析报告奇安信代码安全实验室2023€

7o1目

录一、概述

....................................................................................................11、软件供应链安全攻üÏ件依然高发...............................................12、开源软件安全是软件供应链安全的重中之重...............................3Ð、国内企业自主开发源代码安全状况................................................51、编程语言分布情况

...........................................................................52、典型安全缺陷检û情况

...................................................................6三、开源软件生态发展P安全状况........................................................71、开源软件生态发展状况分析

...........................................................72、开源软件源代码安全状况分析

.......................................................9ÿ1Ā编程语言分布情况..................................................................10ÿ2Ā典型安全缺陷检û情况..........................................................10ÿ3Ā安全问题修复确认情况..........................................................113、开源软件}开报告漏洞状况分析.................................................11ÿ1Ā大型开源项目漏洞总数及€度增长

TOP20

.........................12ÿ2Ā主流开源软件包生态系统漏洞总数及€度增长

TOP20

.....144、开源软件活跃度状况分析

.............................................................15Iÿ1Ā超

7成开源软件项目处于O活跃状态..................................16ÿ2Ā超

2.2万个开源软件一€内更新发布超过

100个版本.......165、关键基础开源软件分析

.................................................................17ÿ1Ā主流开源生态关键基础开源软件

TOP50

.............................17ÿ2ĀÐ未}开披露过漏洞的关键基础开源软件占比进一步升高............................................................................................................20ÿ3Ā关键基础开源软件的整体ß维风险Ï处于较高水..........20四、国内企业软件开发中开源软件应用状况......................................211、开源软件总体使用情况分析

.........................................................21ÿ1Ā均每个软件项目使用

155个开源软件..............................21ÿ2Ā流行开源软件被超

4成的软件项目使用..............................222、开源软件漏洞风险分析

.................................................................22ÿ1Āà

8成软件项目存在容易利用的开源软件漏洞..................22ÿ2Ā均每个软件项目存在

110个已知开源软件漏洞..............23ÿ3Ā影响最广的开源软件漏洞存在于超

4成的软件项目中......24ÿ4Ā20

多€前的开源软件漏洞Ï然存在于多个软件项目中.....253、开源软件许可协议风险分析

.........................................................26ÿ1Ā最流行的开源许可协议在超半数的项目中使用..................26ÿ2Ā1/6的项目使用了含p超、高危许可协议的开源软件........26II4、开源软件ß维风险分析

.................................................................28ÿ1Āà

30€前的老旧开源软件版本Ï在被使用........................28ÿ2Ā开源软件各版本使用依然混乱..............................................295、O\行业软件项目开源使用风险分析.........................................29ÿ1Ā各行业软件项目分布情况......................................................29ÿ2Ā各行业软件项目使用开源软件情况......................................30ÿ3Ā各行业软件项目含已知开源软件漏洞情况..........................31五、典型软件供应链安全风险实例分析..............................................321、某主流企业级无线路由器供应链攻ü实例分析.........................322、ZCS

协\办}系统供应链攻ü实例分析.....................................333、多款国产操作系统供应链攻ü实例分析.....................................354、某国产

CMS

系统供应链攻ü实例分析.......................................37~、总结及建议

......................................................................................39附录：奇安信代码安全实验室简介......................................................42III一、概述过去的N€，各界对软þ供à链安全的s注度依然高涨，相s安全攻üÏþ也持续增à2~m，奇安信代码安全实验室在前n期:中ÿ软þ供à链安全V析ç告;ÿ/threat/reportdetail?report_id=161Ā的基础P，èû本V析ç告2作~该系列€度V析ç告的第O期，本ç告继续针对ÿ内企业自开发的源代码1开源软þ生态1ÿ内企业软þ开发中开源软þà用等的安全状况，以及y型à用系统供à链安全风险实例ßÌ深入V析，并总结势和Ù化2相比于去€的ç告，本ç告p以Q新增之处ÿ在开源软þ生态发展P安全部V新增了开源项目维æ者对他人ð交安全问题的修复确认情况Ā在企业软þ开发中的开源软þà用部V新增了对O\Ì业软þ项目开源使用风险的V析，对开源许ÿ`¯的风险V析V别统计了超t和高t开源许ÿ`¯的使用情况Ā在y型软þ供à链安全风险实例部V，通过多个新的实例再次验证了因软þ供à链的复g性，开源软þ的<老漏洞=发挥<0day漏洞=攻ü作用的状况2感t趣的读者阅读时ÿÞ点s注P述Ù化之处21、软件供应链安全攻üÏ件依然高发在过去的N€中，针对软þ供à链的安全攻üÏþ持续增à，r的t害也愈发oÞ22022€

7o，攻ü者通过在

NPMP发布包时绕过ß因子认证1(2FA)，创建了

1000多个用户账号，攻ü者利用àß账号自ú投1283个包含挖矿脚本

eazyminer的恶意模块，利用数据ß1Web等所在服á器的机器闲置资源ßÌ挖矿，如果开发者安装了àß包，则b在被调用时挖掘门罗币22022

€

11

o，美ÿ

FBI

和

CISA

发布联合|告指û，未x]的伊朗组ÿ利用

Log4Shell漏洞入侵了美联邦民Ï̀部门

FCEBQ属机构的NĀ未修复的

VMware

Horizon服á器，并部署了挖矿恶意软þ

XMRig2FBI和

CISAð到，所p尚未修复

VMware系统中

Log4Shell漏洞的机构都ÿ能遭Øm类攻ü22022€

12o，安全研究人员发现了

GitHub

Actions的N个oÞ漏洞，该漏洞ÿ

r恶意软þ植入攻ü，ß而€响使用

GitHubActions的软þ项目，如Q游软þ项目以恶意代码编译更新等2GitHub证实了该问题的`在，并颁发了赏金，Rust修复了易Ø攻ü的管道22023€

2o，半导体Ì业技术巨头

Applied

MaterialsĀÿwN家要的供à商因遭Ø勒索软þ攻ü而被迫中断生产，à将€响w第Ð季度的交付2该攻üÏþ及l在ßÌ的w他供à链挑战将使w第Ð季度的r本增àþ

2.5亿美元22023€

3o，安全研究人员发现，à联网语音`¯交换机ÿVoIPIPBXĀ软þ开发厂商

3CX的

VoIP桌面ü户端在通过

GitßÌ构建时，注入了因供à链攻ü而引入的恶意代码，并使用合法的

3CX

Ltd证书ßÌ了数_签]，w中N个恶意

DLL是利用了N个`在à

10

€的Windows签]验证漏洞(CVE-2013-3900)通过签]的2`用户安装à2用时，bà载恶意

DLL，ß而收集系统信息1窃×数据和凭据等，r敏感数据泄露23CX

Phone

System被全球超

60万家企业使用，每y用户超过

1200万22023€

5o，网þ安全研究员对’用于

Linux和

UnixĀ的热门开源à联网路由`¯套þ

FRRouting

中网s`¯

BGP

的

7

种O\实现软þßÌ了V析，发现`在O个漏洞，它们的

CVSS评V均~

6.5，ÿ被用于在易Ø攻ü的

BGP

对等体P实现拒ÿ服á条þ2目前FRRouting用于多家厂商如

NVIDIACumulus1DENT和

SONiC中22、开源软件安全是软件供应链安全的重中之重奇安信代码安全实验室通过数据V析发现，P前n€相比，开源软þ自身的安全状况持续Q滑，ÿ内企业软þ开发中因使用开源软þ而引入安全风险的状况更à糟糕2m外，开源项目维æ人员对安全问题的修复ÿ极性较P2开源软þ供à链安全风险管ç依然值得持续s注，需要更大的投入21Ā开源生态发展依然迅猛，开源软þ自身安全状况持续Q滑过去N€，流开源软þ包生态系统中开源项目总量增长了25.1%，开源生态发展依然迅猛2Pm\时，开源软þ漏洞数量也持续增长，2022€新增的开源软þ漏洞~

7682个ĀO€来O活跃的开源项目占比Ð

61.6%169.9%

渐升高ó

72.1%2据<奇安信开源项目检测计划=的实测数据显示，O€来开源软þ的总体缺陷密度和高t缺陷密度呈现û

€P升的势，均处于较高水Ā十类y型缺陷3的总体检û率~

72.3%，P去€

73.5%相`，à高于前€的

56.3%2总体来看，开源软þ自身的安全问题愈发o峻22Ā开源项目维æ者对安全问题的Þ视度和修复ÿ极性较P2022€，<奇安信开源项目检测计划=共U各被测开源项目的维æ者à馈

1484

个安全问题，仅p

547

个得到确认并修复，w他

937个à馈O修复1未à馈，或无人处理，安全问题的修复率仅~

36.9%2另据统计发现，N个安全问题Ðð交到维æ人员à馈确认并修复，时间较长的ÿ长达N€甚ó更久23Āÿ内企业因使用开源软þ而引入安全风险的状况更à糟糕2022€，奇安信代码安全实验室对

2631个ÿ内企业软þ项目中使用开源软þ的情况ßÌV析发现ÿ均每个项目使用

155个开源软þ，à高于之前的

126和

127个Ā`在已知开源软þ漏洞的项目占比达

91.6%，均每个项目`在

110个已知开源软þ漏洞，项目中最ô老的开源软þ漏洞的发现时间ÿ追溯ó

21

€前Ā1/6

的项目中使用了含p超t或高t许ÿ`¯的开源软þĀà

30

€前的老ç开源软þx本Ï然在使用，\N开源软þ各x本的使用依然混乱2整体的安全风险状况P前n€相比更à糟糕，风险水Ï处于较高状态2另N方面，s们发现

2022

€许多机构和企业更às注开源软þ供à链安全，Nß机构和企业基于规范的流程，在开源安全治理工x的辅ûQ开展相s工作2但Ð目前ÿ内企业软þ开发中使用开源软þ的安全风险状况来看，àß经验1方法和工xß需要ßNn的持续è广和à用24Ð、国内企业自主开发源代码安全状况软þ源代码安全是软þ供à链安全的基础22022€全€，奇安信代码安全实验室对

1589

个ÿ内企业自开发的软þ项目源代码ßÌ了安全缺陷检测，检测的代码总量~

347814428Ì，共发现安全缺陷3751450个，w中高t缺陷

300459个，整体缺陷密度~

10.78个/千Ì，高t缺陷密度~

0.85个/千Ì2P前n€相比，整体缺陷密度略微升高，高t缺陷密度较去€p所à，但P于前€水2自主开发软件均缺陷密度三€对比1210.7810.119.8510864201.080.850.652021€2020€2022€缺陷密度(个/千行)高危缺陷密度(个/千行)1、编程语言分布情况在

1589个ÿ内企业自开发的软þ项目中，共使用了

14种编程语言，使用数量排]前

3的~

Java1C/C++1NodeJS，对à的软þ项目数量V别~

1209

个1105

个和

60

个，w中

Java

语言项目占比达76.1%2ÿ以看û，ÿ内企业在ßÌ软þ开发时，Java语言Ï然是首™，`比例更大2编程语言的V布情况如QĀ所示25OC,8,0.5%Ruby,

8,0.5%Go,24,

1.5%SQL,

7,0.4%Scala,6,

0.4%Swift,

5,0.3%Cobol,5,0.3%Kotlin,

4,

0.3%Python,

40,

2.5%C#,54,

3.4%PHP,

54,

3.4%NodeJS,60,

3.8%C/C++,

105,

6.6%JAVA,

1209,76.1%国内企业自主开发的软件项目编程语言总体分布情况2、典型安全缺陷检û情况V析

1589

个软þ项目的源代码缺陷检测结果发现，注入1密码管理1å志伪

1跨站脚本1NULL引用1配置管理1输入验证1资源管理1路径遍历1API误用等十类y型安全缺陷的总体检û率ÿ检û率指含p某类缺陷的软þ项目数占软þ项目总数的比例Ā~

74.1%，高于去€ç告的

59.9%，P前€的

77.8%相`2每类y型缺陷àO€的检û率及排]情况如Q表所示2排]

2022检û率及排]2021检û率及排]2020检û率及排]12345678输入验证ÿ50.5%Ā跨站脚本ÿ44.2%Ā资源管理ÿ43.3%Ā输入验证ÿ41.8%Ā跨站脚本ÿ35.1%ĀAPI误用ÿ31.5%Ā输入验证ÿ50.8%Ā路径遍历ÿ39.6%Ā跨站脚本ÿ39.5%Ā注入ÿ37.3%ĀNULL引用ÿ43.1%Ā

NULL引用ÿ30.2%Ā注入ÿ40.1%Ā路径遍历ÿ40.0%Ā密码管理ÿ30.3%ĀAPI误用ÿ30.1%Ā资源管理ÿ29.9%Ā

NULL引用ÿ31.8%Ā路径遍历ÿ28.4%Ā注入ÿ26.3%Ā资源管理ÿ31.6%Ā密码管理ÿ31.0%ĀAPI误用ÿ28.7%Ā密码管理ÿ22.8%Ā69配置管理ÿ24.8%Āå志伪

ÿ17.6%Ā配置管理ÿ18.2%Āå志伪

ÿ12.5%Ā配置管理ÿ28.0%Āå志伪

ÿ18.2%Ā10Ð表中ÿ以看û，O€来，输入验证1跨站脚本1NULL引用是检û率较高的缺陷类型，配置管理和å志伪

类缺陷检û率较P2除

API误用类缺陷的检û率略pQ降外，w他类型缺陷的检û率均比去€pO\程度的升高，又普遍回到或超过了前€的水2ÿ内企业在自开发软þ代码的安全质量方面O能ì以轻心2三、开源软件生态发展P安全状况开源软þ在现代软þ开发中的基础作用已得到普遍认ÿ2本€度ç告依然Ð开源软þ生态发展状况1开源软þ源代码安全状况1开源软þ|开ç告漏洞状况1开源软þ活跃度状况1s键基础开源软þV析等五个方面对

2022

€开源软þ生态发展P安全状况ßÌ综合V析21、开源软件生态发展状况分析据奇安信代码安全实验室的监测和统计，2021€á和

2022€á，流开源软þ包生态系统中开源项目总量V别~

4395386个和5499977，N€间增长了

25.1%Ā截ó

2022€á，流开源软þ包生态系统中均每个开源项目p

12.6个x本，较前n€ç告的

11.8个和

10.2个呈持续增长的势2ÿ以看û，2022€开源软þ生态依然繁荣2对

Maven1NPM1Packagist1Pypi1Godoc1Nuget1Rubygems17Swift等{个y型开源软þ包生态系统的x体V析如QÿNPM包生态项目数量依然最多，Godoc包生态增Ÿ依然最快2àN状况P前n€ç告保持Nô2{个y型的开源软þ包生态系统中开源项目数量和增长率情况如QĀ所示，w中开源项目数量最多的是NPM

包生态系统，截ó

2022

€á，w开源项目数量达到了

2328687个，à高于w他开源包生态Ā开源项目数量增Ÿ最快的是

Godoc包生态系统，2022€N€间的项目总量增Ÿ达到了

55.8%，Nuget的增长也很快，达

53.6%2典型开源软件包生态系统中项目数量变化情况25000002000000150000010000005000000RubygemMavenNPMPackagistPypiGodocNugetSwifts2021€数量

542743

1892984

3405412022€数量

656090

2328687

38262335297343897324.4%32826151158755.8%37561457680053.6%1684361736913.1%82999901368.6%增长率20.9%23.0%12.4%Maven和

NPM包生态系统的开源项目开发者Ï然是<最勤奋=的，开源项目的均x本数超过

13个2截ó

2022€á，{个y型的开源软þ包生态系统的开源项目数量和x本数量如Q表所示2w中，Maven包生态系统均每个开源项目p高达

21.9

个x本，也是均x本数增长最快的包生态系统Āw他增长较快的ßp

Packagist

和

GodocĀNuget是开源项目均x本数唯N降P的包生态系统，Ð去€的

12.7降~今€的

11.028序号

包生态系统

2022€项目数2022€版本数均版本数12345678MavenNPM65609023286873826234389735115875768001736919013614348900312153624551007423654648178926344100129036860481621.913.411.99.7PackagistPypiGodoc9.4Nuget11.07.4RubygemsSwift6.72、开源软件源代码安全状况分析2022

€全€,<奇安信开源项目检测计划=对

2098

个开源软þ项目的源代码ßÌ了安全检测，代码总量~

173174712Ì，共发现安全缺陷

3646486个，w中高t缺陷

222640个，整体缺陷密度~

21.06个/千Ì，高t缺陷密度~

1.29

个/千Ì2O€来缺陷密度和高t缺陷密度均呈现û

€P升的势2开源软件均缺陷密度三€对比2521.062016.1114.96151051.292022€0.952020€0.992021€0缺陷密度(个/千行)高危缺陷密度(个/千行)9ÿ1Ā编程语言分布情况2022

€检测的

2098

个开源项目中，共î及

10

种编程语言，V别是

Java1C/C++1Python1OC1Go1JavaScript1Kotlin1Scala1Ruby和

PHP，编程语言的V布情况如QĀ所示2开源项目编程语言总体分布情况Scala,

39,1.9%PHP,51,2.4%OC,101,

4.8%Ruby,50,2.4%Go,28,

1.3%Java,

704,33.6%Kotlin,

109,5.2%Javascript,

298,14.2%C/C++,

346,16.5%Python,372,17.7%ÿ2Ā典型安全缺陷检û情况对

2098

个开源软þ项目的缺陷检测结果V析发现，注入1密码管理1å志伪

1跨站脚本1NULL引用1配置管理1输入验证1资源管理1路径遍历1API误用等十类y型安全缺陷的总体检û率~

72.3%，P去€的

73.5%相`，但à高于前€的

56.3%2每类y型缺陷àO€的检û率及排]情况如Q表所示2排]

2022检û率及排]2021检û率及排]路径遍历ÿ36.7%Ā2020检û率及排]12资源管理ÿ35.0%Ā输入验证ÿ50.8%Ā路径遍历ÿ39.6%ĀNull引用ÿ31.7%Ā

Null引用ÿ36.5%Ā1034输入验证ÿ29.5%Ā路径遍历ÿ28.6%Ā注入ÿ21.8%Ā资源管理ÿ33.0%Ā输入验证ÿ25.1%Ā跨站脚本ÿ39.5%Ā注入ÿ37.3%Ā5密码管理ÿ23.5%Ā

Null引用ÿ31.8%Ā6API误用ÿ18.6%Āå志伪

ÿ17.3%Ā跨站脚本ÿ10.9%Ā配置管理ÿ9.4%Ā密码管理ÿ7.5%Āå志伪

ÿ22.9%Ā注入ÿ21.4%Ā资源管理ÿ31.6%Ā密码管理ÿ31.0%ĀAPI误用ÿ28.7%Ā配置管理ÿ28.0%Āå志伪

ÿ18.2%Ā78API误用ÿ18.2%Ā跨站脚本ÿ15.0%Ā配置管理ÿ10.8%Ā910ÿ以看û，àO€y型缺陷的检û率和排]均pO\程度的Ù化2总体而言，除资源管理类缺陷小幅P升，输入验证1å志伪

类缺陷PQ浮ú外，w他

7类缺陷的检û率均呈现û总体Q降的势2ÿ3Ā安全问题修复确认情况2022€，<奇安信开源项目检测计划=共U各被测开源项目维æ者à馈

1484个安全问题ÿissuesĀ，w中

547个得到确认并修复，w余的

937个à馈O修复1未à馈，或无人处理ÿissues状态~

OpenĀ，修复率仅~

36.9%2开源项目维æ者对安全问题的Þ视程度ß较P2通过对àß

issues生命周期的V析发现，N个

issue

Ðð交到维æ人员à馈确认并修复的时间，最快~N周，较长的ÿ长达N€甚ó更久23、开源软件}开报告漏洞状况分析据奇安信代码安全实验室监测P统计，截ó

2022

€á，CVE/NVD1CNNVD1CNVD

等|开漏洞ß中共收录开源软þ相s漏洞1157610个，w中p

7682个漏洞~

2022€新增2ÿ1Ā大型开源项目漏洞总数及€度增长

TOP20截ó

2022€á，历史漏洞总数排]前

20的大型开源项目信息如Q表所示2Linux

Kernel1Chromium

(Google

Chrome)和

MozillaFirefox已â续O€排]前

32历史漏序号大型开源项目主页地址//洞总数1

LinuxKernel5337Chromium230722440(GoogleChrome)/en-US/firefox/3

MozillaFirefox4

Thunderbird5

MySQL/zh-CN//14271346AdobeFlash6/products/flashplayer/end-of-life.html1089Playerplugin7

linux-aws8

GitLab/855786770759740764642635649//9

linux-gcp10

linux-azure11

PHP//12

SeaMonkey13

ImageMagick14

Wireshark15

WebKitGTK//index.php///en-US/firefox/enterprise/16

FirefoxESR97617

OpenJDK18

Moodle19

Jenkins//585495483https://www.jenkins.io/12XenProject(Hypervisor)20/4862022€N€间，|开ç告漏洞数量增长排]前

20的大型开源项目信息如Q表所示，Linux

Kernel

依然是N€来增à漏洞最多的项目，达到

579个22022

€漏洞增量序号大型开源项目主页地址1

LinuxKernel//579Chromium(GoogleChrome)2356169/en-US/firefox/3

MozillaFirefox4

TensorFlow5

GitLab6

MySQL///165161160/zh-CN/7

Thunderbird1278

Jenkins9

Vimhttps://www.jenkins.io//117115/en-US/firefox/enterprise/10

FirefoxESR10611

gpachttp://gpac.io/9888777473666012

TeXLive13

linux-aws14

linux-azure15

linux-gcp16

Microweber17

MariaDB/texlive//////XenProject18//6249(Hypervisor)19

LiferayPortal1320

Radare/48ÿ2Ā主流开源软件包生态系统漏洞总数及€度增长

TOP20截ó

2022

€á，流开源软þ包生态系统中历史漏洞总数排]前

20的开源软þ信息如Q表所示2序号1

TensorFlow开源软件所属包生态系统

历史漏洞总数PypiNugetMaven4103212272

ChakraCore3

JenkinsElectron-Cross-platformdesktopapplicationshell4NPM1961891835

ApacheTomcatElectron-Cross-platformdesktopapplicationshellMavenMaven67

TYPO3CMS8

OpenSSLPackagistConan149147130119117116105989

FFmpeg-iOS10

MagentoCore11

RubyonRails12

phpMyAdmin13

OpenSSLSwiftPackagistRubygemsPackagistSwift14

DjangoPypi15

DolibarrERP&CRM16

Drupal(core)17

PlonePackagistPackagistPypi96939118

silverstripe-framework19

keycloakPackagistMaven898520

DjangoConda842022

€N€间，流开源软þ包生态系统中|开ç告漏洞数量14增长排]前

20的开源软þ信息如Q表所示2序号开源软件所属包生态系统

2022

€漏洞增量1

TensorFlow2

XWikiPypi16544MavenElectron-Cross-platformdesktopapplicationshellElectron-Cross-platformdesktopapplicationshell34NPM4441Maven5

rdiffWebPypiPackagistMaven403030282320202020191918181717166

pimcore7

ms-mcms8

Goprogramminglanguage9

ShowDocGodocPackagistNPM10

grafana11

librenmsPackagistPackagistGodoc12

CodeIgniter13

Mattermost14

GLPIPackagistMaven15

Jenkins16

incubator-airflow17

TYPO3CMS18

libTIFFPypiPackagistConan19

Rocket.Chat20

XWikiPlatformNPMMaven4、开源软件活跃度状况分析s们依然把活跃度作~衡量开源软þ安全性的N个维度2O活跃的开源软þ，Næû现安全漏洞，难以得到及时的修复Ā活跃的开源软þ中，如果wx本更新发布的频率过高，\b增à使用者ß维的15r本和安全风险2ÿ1Ā超

7成开源软件项目处于O活跃状态s们将超过N€未更新发布过x本的开源软þ项目定O~O活跃项目22022€全€，流开源软þ包生态系统中O活跃的开源软þ项目数量~

3967204

个，占比高达

72.1%，P去€的

69.9%和前€的61.6%相比，呈现û

€升高的势2对{个y型的开源软þ包生态系统ßÌV析和比较发现，除Nuget外，w他各包生态系统中O活跃项目的占比较去€ç告数据均p小幅升高，Nuget则Ð去€的

68.1%大幅Q降ó

54.3%2NPM的O活跃项目数量最多，达

1693287个，Rubygems的O活跃项目比例Ï~最高，占比高达

90.5%2x体数据见Q表2序号

包生态系统项目总数O活跃项目数O活跃项目比例12MavenNPM65609023286873826234389735115875768001736919013645155716932872834082894683484573134491572307854868.8%72.7%74.1%65.9%68.1%54.3%90.5%87.1%3

Packagist45678PypiGodocNugetRubygemsSwiftÿ2Ā超

2.2万个开源软件一€内更新发布超过

100个版本2022

€全€，流开源软þ包生态系统中，更新发布

100

个以Px本的开源项目p

22403

个，明显高于去€的

19265

个和前€的1613411个，P包生态系统中项目数量相\，呈现û

€P升的势2{个y型的开源软þ包生态系统中，N€内更新发布超过

100个x本的项目数量见Q表2一€内发布超过

100个版本的项目数量排]包生态系统对应的开发语言12345678NPMMavenJavascriptJava1258136962250157298988924818Nuget.NETGodocGoPypiPythonPHPPackagistRubygemsSwiftRubySwift5、关键基础开源软件分析去€的ç告中，s们新增了<s键基础开源软þ=

安全状况V析，即被_多w他开源软þ所依赖ÿ据经验x体定O~直接依赖数大于

1000Ā的N类开源软þ2今€的ç告中延续了该部V内容，继续对àN类软þ的安全性ßÌV析2ÿ1Ā主流开源生态关键基础开源软件

TOP50去€ç告中ð到，Ð安全的视角来看，如果开源软þû现漏洞^，r的大效à大，€响的范围广，那Nà个软þ就Þ要2本ç告依然将直接依赖数大于

1000

的开源软þ定O~s键基础开源软þ217V析发现，截k

2022€á，Maven1NPM1Nuget1Pypi1Packagist1Rubygems等流开源生态中直接依赖数大于

1000的开源软þ共p1254款，较

2021€áP涨

17.4%，直接依赖数排]

TOP50的软þ如Q表2开源软þ

junit:junit的直接依赖数â续n€O居榜首，今€达

102980，较去€增à了

7366，也就是说N€之中新增

7366款开源软þ直接依赖于它2ApacheLog4j2依然排在

100]以外2排]开源软件所属包生态系统直接依赖数1

junit:junit2

rakeMavenRubygemsMavenRubygemsRubygemsNugetMavenNPM10298079723746106943059289565645637854913466014496241314398343798833989319283158930330292543

org.scala-lang:scala-library4

bundler5

rspec6

Newtonsoft.Json7

org.slf4j:slf4j-api8

tslib9

numpyPypi10

requestsPypi11

chalkNPM12

commanderNPM13

lodashNPM14

illuminate/support15

expressPackagistNPM16

guzzlehttp/guzzle17

pandasPackagistPypi18

com.google.guava:guavaMavenorg.jetbrains.kotlin:kotlin-stdlib-common19MavenNPM291652838620

axios1821

pytestPypiMavenNPM27525267702669125821256902542322

ch.qos.logback:logback-classic23

inquirer24

org.mockito:mockito-core25

reactMavenNPM26

requestNPMcom.fasterxml.jackson.core:jackson-databind27MavenNPM23215223812216828

fs-extramons:commons-29Mavenlang3org.jetbrains.kotlin:kotlin-stdlib-jdk830Maven2209131

commons-io:commons-io32

matplotlibMavenPypi21855204181895918194181121763816526163871628714788147561465714624145481405113988139491376233

scipyPypi34

org.clojure:clojure35

typescriptMavenNPM36

jectlombok:lombok37

PyYAMLMavenPypi38

react-domNPM39

laravel/framework40

clickPackagistPypi41

momentNPM42

log4j:log4jMavenMavenRubygemsMavenMavenPypi43

com.google.code.gson:gson44

pry45

org.slf4j:slf4j-log4j1246

org.assertj:assertj-core47

odoo48

yiisoft/yii2Packagist1949

activesupport50

railsRubygemsRubygems1313713105ÿ2ĀÐ未}开披露过漏洞的关键基础开源软件占比进一步升高开源软þ漏洞披露依然表现û参差O齐的状况，既p漏洞披露流程很l规的`秀开源项目，也p很多没p漏洞披露流程的开源项目2对

2022€的数据V析发现，在

1254款s键基础开源软þ中，p

905款Ð未|开披露过漏洞，占比~

72.2%，高于去€ç告中的

66.6%2rà种现象的要原因没Ù，依然pn个，即p的开源软þ，特别是p的开源社|中的软þ，漏洞虽然已被修复了，但没p±录和|开Ā另N方面是对Nß开源软þ安全性的s注度O够，对它们漏洞挖掘的研究ßO多2ÿ3Ā关键基础开源软件的整体ß维风险Ï处于较高水Ð<x本更新时间=和<周ð交频率=n个维度来V析，依然p超

4r的s键基础开源软þ活跃度很P2w中，半€内没p发布过新x本的s键基础开源软þp

520款，占比~

41.5%，P去€数据相`ĀN€内周均ð交次数小于

5

和小于

1

的s键基础开源软þ数量V别~

817和

510，占比V别~

65.2%140.7%，n项指标明显高于去€的

47.1%和

31.3%，说明s键基础开源软þð交的ÿ极性p所降P2在

TOP50的s键基础开源软þ中，只p

23款软þ明确已获得大厂或者基金b的支持，比去€ß减少了N款，依然p

9

款软þ的20Github

贡献者数量小于

100，NPM

生态中的

fs-extra

ß是由

JPRichardson个人来维æ的2整体来看，s键基础开源软þ的ß维安全状况未见改善，Ï处于较高水2四、国内企业软件开发中开源软件应用状况2022€，奇安信代码安全实验室对

2631个ÿ内企业软þ项目中使用开源软þ的情况ßÌ了V析，àß软þ项目的à用领域î及中小企业1金融1|共服á管理1通信1交通和能源等

6个Ì业21、开源软件总体使用情况分析ÿ1Ā均每个软件项目使用

155个开源软件在被V析的

2631个ÿ内企业软þ项目中，全部使用了开源软þ，使用率~

100%2最多的项目使用了

5695个开源软þ，均每个项目使用

155

个开源软þ，较前n€的

127

个和

126

个p较大幅度的增à2使用开源软þ最多的

10个项目情况如Q表所示2项目]称使用的开源软件数量项目

1项目

2项目

3项目

4项目

5项目

6项目

7569548444646432837923630336721项目

8项目

9项目

10265724522330ÿ2Ā流行开源软件被超

4成的软件项目使用在V析的

2631

个ÿ内企业软þ项目中，使用最多的开源软þ~Apache

Commons

Lang，被

1146个项目所使用，占比高达

43.6%，à高于去€的

36.2%和前€的

24.3%2被使用最多的前

10]开源软þ如Q表所示2开源软件]称ApacheCommonsLang使用的项目数被使用率1146113510351026101799643.6%43.1%39.3%39.0%38.7%37.9%SimpleLoggingFacadeforJava(SLF4J)CommonsIOlog4jApacheCommonsCodecJacksonJSONprocessorApache

HttpComponents

Client(aka

ApacheHttpClient)98837.6%SpringFramework98697697337.5%37.1%37.0%jackson-databindApacheCommonsCollections2、开源软件漏洞风险分析ÿ1Āà

8成软件项目存在容易利用的开源软件漏洞V析发现，在

2631

个ÿ内企业软þ项目中，`在已知开源软þ漏洞的项目p

2411

个，占比高达

91.6%Ā`在已知高t开源软þ漏22洞的项目p

2268

个，占比~

86.2%Ā`在已知超t开源软þ漏洞的项目p

2032个，占比~

77.2%2àO个比例均比去€p所ð高2综合漏洞的

POC/EXP情况以及

CVSSÿ利用性指标等因素，s们将漏洞的利用难度V~容易1N般1困难，容易利用的漏洞风险极高2在V析的

2631个项目中，`在容易利用的漏洞的项目p

2089个

，占比~

79.4%，高于去€的

77.0%2ÿ2Ā均每个软件项目存在

110个已知开源软件漏洞在

2631个ÿ内企业软þ项目中，共检û

289066个已知开源软þ漏洞ÿî及到

8289

个唯N

CVE

漏洞编号Ā，均每个软þ项目`在110个已知开源软þ漏洞，à高于前n€的

69和

66个2最多的软þ项目`在

1566

个已知开源软þ漏洞2`在已知开源软þ漏洞数量排]前

10的项目情况如Q表所示2项目存在开源软件漏洞数量项目

1项目

2项目

3项目

4项目

5项目

6项目

7项目

8项目

9项目

10156615061459141114071395138812341169107323ÿ3Ā影响最广的开源软件漏洞存在于超

4成的软件项目中Ð漏洞的€响度来V析，€响范围最大的开源软þ漏洞~

CVE-2022-42003和

CVE-2022-42004，`在于

41.9%的软þ项目中，比去€最高的

31.7%高ûþ

10%，足以说明它们€响广泛22022€€响度排]前

10的开源软þ漏洞如Q表所示2影响项目漏洞]称CVE

编号影响度41.9%41.9%数量FasterXML

jackson-databind代码问题漏洞CVE-2022-42003CVE-2022-420041103FasterXML

jackson-databind代码问题漏洞1102SpringFramework安全漏洞SpringFramework安全漏洞CVE-2023-20861CVE-2023-208631078107741.0%40.9%Apache

Commons

FileUpload安全漏洞CVE-2023-24998CVE-2022-22965CVE-2022-22970CVE-2016-1000027CVE-2023-35116CVE-2022-229681012100699438.5%38.2%37.8%37.2%37.1%36.9%Spring

Framework

à程代码执Ì漏洞Spring

Framework

输入验证错误漏洞Vmware

Spring

Framework

代码问题漏洞979FasterXML

jackson-databind代码问题漏洞976Vmware

Spring

Framework

安全特征问题漏洞970容易利用的漏洞更易被用来发起攻ü，风险极高2€响度排]前10的容易利用的开源软þ漏洞情况如Q表所示2影响项目数量容易利用的漏洞]称CVE

编号影响度Spring

Framework

à程代码执Ì漏洞CVE-2022-22965

100638.2%Vmware

Spring

Framework

代码问题漏洞CVE-2016-100002797989637.2%34.1%VmwareSpringFramework安全漏洞

CVE-2021-2206024VmwareSpringFramework安全漏洞

CVE-2021-2209688686980680677874733.7%33.0%30.6%30.6%29.6%28.4%ApacheHttpClient安全漏洞jQuery跨站脚本漏洞jQuery跨站脚本漏洞jQuery跨站脚本漏洞Fastjson代码问题漏洞CVE-2020-13956CVE-2020-11022CVE-2020-11023CVE-2019-11358CVE-2022-25845FasterXML

jackson-databind

代码问题漏洞CVE-2020-884073728.0%ÿ4Ā20多€前的开源软件漏洞Ï然存在于多个软件项目中V析发现，P前n€ç告结果Nô，部V软þ项目中Ï然`在很久之前|开的ô老开源软þ漏洞，w中，最ô老的漏洞是

2002

€

3o

15

å|开的

CVE-2002-0059，距今已

21

€，Ï然`在于

11

个项目中2部Vô老开源软þ漏洞的€响情况如Q表所示2影响项目数量漏洞]称zlib安全漏洞CVE

编号发布日期CVE-2002-0059

2002-03-15CVE-2002-0660

2002-06-1911LibPNG

超阔ý边空Ā象处理内`破坏漏洞141Portable

Network

Graphics任意脚本à程执Ì漏洞Linux

Kernel混g模式状态漏洞CVE-2002-1363

2002-12-26CVE-2002-1976

2002-12-31zlib安全漏洞CVE-2003-0107

2003-02-23CVE-2004-0230

2004-08-18171TCP`¯安全漏洞LibPNG

O合法

PNG

界À问拒ÿ服á漏洞CVE-2004-0421

2004-08-1814Microsoft

MSN

Messenger

PNGĀ

w

解

析

à

程

代

码

执

Ì

漏

洞

CVE-2004-0597

2004-11-23(MS05-009)libpng

png_handle_iCCP

NULLCVE-2004-0598

2004-11-23指针à程拒ÿ服á漏洞44libpng漏洞Ì读×à程整数溢ûCVE-2004-0599

2004-11-23253、开源软件许可协议风险分析ÿ1Ā最流行的开源许可协议在超半数的项目中使用在

2631个被V析的ÿ内企业软þ项目中，共发现

537个开源许ÿ`¯2î及项目数最多的`¯依然是

Apache

License

2.0，在

1349个项目中使用，占比~

51.3%，虽然超过半数，但P于去€的

77.1%2î及软þ项目数排]前

10的许ÿ`¯如Q表所示2开源许可协议ApacheLicense2.0涉及项目数所占比例1349105032815714712312211351.3%39.9%12.5%6.0%5.6%4.7%4.6%4.3%MITLicenseBSD3-Clause"New"or"Revised"LicenseGNUGeneralPublicLicensev2.0onlyGNUGeneralPublicLicensev1.0orlaterGNUGeneralPublicLicensev2.0orlaterPublicDomainBSD2-Clause"Simplified"LicenseGNU

Lesser

General

Public

License

v2.1

orlater91863.5%3.3%GNUGeneralPublicLicensev3.0onlyÿ2Ā1/6的项目使用了含p超、高危许可协议的开源软件pß类型的开源许ÿ`¯中包含了Nß限制性条款，在使用过程中Næáààß条款，ÿ能对企业的商业利益和声誉

roÞ的损害2àß限制性条款包括如ÿ<禁k本软þ及wÍ生品用于商业目的=1<禁k在未支付费用和x税的情况Q将该软þ用于非|开1非商业用途=1<软þ发布时必须|开软þ的源代码=等226奇安信代码安全实验室将限制性较~苛刻的N类`¯定O~超t许ÿ`¯，将限制性较大而未达到超t水的N类`¯定O~高t许ÿ`¯2在

2631

个被V析的ÿ内企业软þ项目中，`在超t许ÿ`¯的项目

142个，占比

5.4%Ā`在高t许ÿ`¯的项目

301个，占比

11.4%2含超t和高t许ÿ`¯的项目合计占比

16.8%，þ

1/62î及软þ项目数排]前

10的超t许ÿ`¯如Q表所示2超危开源许可协议涉及项目数GNUGeneralPublicLicensev3.0only8682574643187GNUGeneralPublicLicensev3.0orlaterGNUAfferoGeneralPublicLicensev3.0onlyGNULesserGeneralPublicLicensev3.0onlyGNULesserGeneralPublicLicensev3.0orlaterGNUFreeDocumentationLicensev1.2GNUFreeDocumentationLicensev1.2onlyGNUGeneralPublicLicensev3.0orlaterGNUGeneralPublicLicensev3.0only72Creative

Commons

Attribution

Non

Commercial

Share

Alike2.5Generic1î及软þ项目数排]前

10的高t许ÿ`¯如Q表所示2高危开源许可协议涉及项目数GNUGeneralPublicLicensev2.0onlyGNUGeneralPublicLicensev2.0orlaterGNULesserGeneralPublicLicensev2.1orlaterGNULibraryGeneralPublicLicensev2orlaterGNULesserGeneralPublicLicensev2.1onlyMozillaPublicLicense1.115712391787248EclipsePublicLicense1.04527CreativeCommonsAttributionShareAlike3.0UnportedGNULibraryGeneralPublicLicensev2onlyGNULesserGeneralPublicLicensev2.1only4131304、开源软件ß维风险分析开源软þß维风险复g多，ç告要Ð老ç开源软þ的使用和开源软þ多x本的使用角度ßÌV析2ÿ1Āà

30€前的老旧开源软件版本Ï在被使用V析发现，P前n€ç告数据Nô，许多软þ项目中Ï然在使用老ç的开源软þx本，p的甚ó是à

30

€前发布的x本，`在很大的ß维风险2被使用的老ç开源软þx本中，最é的N款是

1995

€8o

2å发布的

IJG

JPEG

6，已经p

28€之久，但Ï然被软þ项目所使用2按老ç程度排]前

10的开源软þ如Q表所示2开源软件]称IJGJPEG版本号

版本发布日期

使用它的项目数量61995-08-021996-02-071996-12-112001-02-051131IJGJPEGglut6a3.1-31.1.3zlib343libpnglibpngSaxpath1.0.12

2001-06-091.2.1

2001-12-1581.0-FCS

2002-05-141.0-FCS

2002-05-141jaxen-core

from

jdom

1.1distribution1libpng1.2.32002-05-2445ApacheXalan2.5.D1

2003-03-0328ÿ2Ā开源软件各版本使用依然混乱V析发现，各个项目中开源软þ使用的x本依然非常混乱，并非使用的都是最新x本2Spring

Framework

是被使用x本最多的开源软þ，p

181个x本在被使用，比去€的

235P，但高于前€的

162，说明开源软þx本使用混乱的状况依然oÞ2按照被使用x本的数量排序，排]前

10的开源软þ情况如Q表所示2开源软件]称SpringFramework被使用的版本数量181132130126118117112109109105@types/nodeApacheTomcatSpringBootNettyProjectHibernateORMjackson-databindSpringTestContextFrameworkJacksonJSONprocessorJetty5、O\行业软件项目开源使用风险分析所p

2631

个被V析的ÿ内企业软þ项目，按照à用领域1ß能属性，ÿ划_}个Ì业，即中小企业类1金融类1|共服á管理类1通信类1交通类和能源类软þ项目2ÿ1Ā各行业软件项目分布情况在

2631个ÿ内企业自开发的软þ项目中，数量排]前

3的依29次~中小型企业开发的软þ1金融类项目和|共服á管理类项目，项目数V别~

1253个11002个和

229个，它们合计占比接à

95%2被V析软þ项目按Ì业的V布情况如QĀ所示2软件项目按行业分布情况交通类,49,通信类,74,1.9%2.8%能源类,24,0.9%公共服务管理类,229,8.7%金融类,1002,中小企业类,1253,

47.6%38.1%ÿ2Ā各行业软件项目使用开源软件情况各Ì业软þ项目使用开源软þ的均数量如QĀ所示2P总体均数

155个相比，中小企业类1通信类项目的开源软þ使用均数P之相`Ā|共服á管理类1交通类1能源类项目使用开源软þ较少，均数在

80-89个之间Ā金融类项目使用开源软þ均数量最大，`à高于w他类别和总体水，达到

186个230各行业软件项目使用开源软件均数量ÿ个Ā186200150100501551481418984800ÿ3Ā各行业软件项目含已知开源软件漏洞情况各Ì业软þ项目含已知开源软þ漏洞的均数量如QĀ所示2ÿ以看û，通信类1金融类1能源类软þ项目的已知开源软þ漏洞均数高于总体，前n者已高于

120个Āw他Ì业的软þ项目虽然均漏洞数较P，但也明显高于去€和前€的总体均水ÿ69个和

66个Ā2各行业软件项目含已知开源软件漏洞均数量ÿ个Ā140122123116120100806040200110102979031五、典型软件供应链安全风险实例分析1、某主流企业级无线路由器供应链攻ü实例分析某ÿ×知]厂商生产的企业ÿ千兆无线路由器，广泛à用于各类企业中，对该路由器的固þßÌV析发现，固þ使用了开源工xMiniUPnPd1.92MiniUPnPd是N款ÿ用于嵌入式系统的通用即插即用开源工x，它是物联网€心`¯

UPnP的N个实现2UPnP`¯允许各种网þ¿备在没p特殊¿置或配置的情况QßÌ通信，使得¿备彼m间ÿ自úâ接和`\工作2例如，新打s机通电并接入网þ^，局域网中的计算机自ú获×打s机的型号等信息，方便ßÌ驱ú安装2CVE-2020-12695是

UPnP`¯的N个高t历史漏洞，又被Ā作CallStranger漏洞，攻ü者ÿ利用它绕过内网的数据防泄漏ÿDLPĀ系统，实现数据“逸，Ð而导ô敏感数据泄露Āßÿ以对¿备所在内网ßÌ扫ï，甚óß能劫持¿备ßÌV布式拒ÿ服áÿDDoSĀ攻ü2该漏洞€响产品的范围非常广泛2QĀ展示了在本例的路由器P利用

CVE-2020-12695

的效果，ÿ以扫ï路由器所在内网中某机器的

222端ó是否开启，若未收到â接请求，则确定端ó开启，ß而~^续网þ攻üð供基础232本实例中，软þ供à链风险传播链条如Qÿ某流无线路由器的固þ使用开源工x

MiniUPnPd来实现

UPnP服á，`

UPnP服áß能开启时，UPnP`¯漏洞b€响该路由器，对路由器所在内网ßÌ扫ï，由m引发软þ供à链攻ü22、ZCS协\办}系统供应链攻ü实例分析Zimbra

Collaboration

SuiteÿZCSĀ是N款开源`\Þ|套þ，包括邮þ服á1å历1通信录等ß能2ZCS邮þ服á器目前à用于全球

140个ÿ家的

20多万个组ÿ中，包括

1000多个€府和金融机构2ZCS

的防病毒引î

Amavis

对电子邮þ中的Öþð×时使用了开源组þ

cpioÿN款

GNU/Linux

实用程序，è在ð×各种`档格式，包括.cpio1.tar和.rpm等

Ā2CVE-2022-41352