2024中国软件供应链安全分析报告

I 1 4 6 6 7 8 9 11 12 13 13 19 19 24 25 26 37 511本期报告在开源软件生态发展与安全部分新增了对NPM生态中恶意1、软件供应链安全攻击手段依然花样百出29月，某黑客组织都在使用域名仿冒（Typosquatting）和星标劫持（Starjacking）技术向开源包管理器PyPi植入一系列恶意包，并引诱开发人员使用，而这些恶意包与Telegram、AWS和阿里云等热门通人信息、登录凭据等敏感数据，可能影响数百万人。用来访问772个组织机构的仓库，包括谷歌、其中部分令牌可帮助攻击者获得Meta公司Bloom、Meta-Liama、Pythia等大语言模型（LLM）仓库的完全读写权限，使用这些仓库把LLM能力集成到应用和运营中的组织置于供应链风试工具Bazel的一个供应链安全漏洞的详细信息。Bazel所依赖的3托管在GitHub上的源代码遭受到大规模严重供应链投毒攻击，该平意软件窃取用户Chrome、Edge等浏览器中的敏感数据，包括浏览历图窃取Telegram会话数据以侵犯用户隐私。这些攻击同时也影响到2024年3月底，某开发人员在调查SSH性能问题时发现了涉及XZUtilѕ工具库的供应链攻击，溯源发现SSH使用的上游liblzma库被植入了恶意后门漏洞（CVE-2024-3094满足一定条件时会解密2024年5月，攻击者通过与英国国防部核心网络链据统计，攻击者访问了超过22.5万名英国陆军、海军和皇家空军现4件是在不到一年的时间内发生的第二起因外部承包商而导致的英国远程服务器管理和数据安全通信。2024年7月初，网络安全公司（CVE-2024-6387攻击者可利用其以root权限在基于glibc的恶意程序安装和后门创建等攻击行为，严重程度堪比Log4Shell。具Qualys公司自身的客户中就有约70万个暴露在互联网上的系统可能易受攻击。2、国内企业软件供应链安全状况有所改善奇安信代码安全实验室通过数据分析发现，与以往历年相比，2023年，国内企业自主开发软件的源代码高危缺陷密度明显下降，通过对2023年国内企业自主开发源代码的分析发现，虽然整体缺陷密度达到12.76个/千行，高于以往各年，但高危缺陷的密度为检出率为25.7%，较往年也有较大降低。上述趋势的出现，应该在很软件，数量再创新高。但另一方面，平均每个项目存在83个已知开s6二、国内企业自主开发源代码安全状况源代码的安全是软件供应链安全的基础。2023年全年，奇安信/千行，高危缺陷密度为0.52个/千行。与以往历年相比，1、编程语言分布情况7再次回到第三的位置。Java语言项目占比达67.7%，但低于去年的2、典型安全缺陷检出情况入验证、资源管理、路径遍历、API误用等十类典型安全缺陷的总体8三、开源软件生态发展与安全状况91、开源软件生态发展状况分析根据奇安信代码安全实验室的监测和统计，2022年底和2023年底，主流开源软件包生态系统中开源项目总量分别为5499977和对Maven、NPM、Packagist、Pypi、Godoc、Nuget、Rubygems、123456782、开源软件源代码安全状况分析（1）编程语言分布情况（2）典型安全缺陷检出情况对2248个开源软件项目的缺陷检测结果分析源管理、路径遍历、API误用等十类典型安全缺陷的总体检出率为76.7%，与前两年相比，有小幅升高。每类典型缺陷历年的检出率及输入验证、路径遍历和资源管理三类缺陷的检出率较高，均在30%左3、开源软件公开报告漏洞状况分析（1）大型开源项目漏洞总数及年度增长TOP20123/en4https://www.thunderbird5678https://azure.microsof9/en-U/produhttps://www.seamonkey-https://imagemagick.1234567https://azure.microsof8x/enterprise/9https://www.thunderbird（2）主流开源软件包生态系统漏洞总数及年度增长TOP20截至2023年底，主流开源软件包生态系统中历史漏洞总数排名前20的开源软件信息如下表所示。排名前两位的1234567892023年一年间，主流开源软件包生态系统中公开报告漏洞数量123456789XWikiPlatform4、开源软件活跃度状况分析（1）68.7%的开源软件项目处于不活跃状态，比例下降报告中依然将超过一年未更新发布版本的开源软件项目定义为不活跃项目。2023年全年，主流开源软件包生态系统中不活跃的开1220345678（2）版本频繁更新的项目较去年增长21.6%版本的开源项目有27234个，较去年增长21.6%。八个典型的开源软12345678215、关键基础开源软件分析且消除困难，其安全性应得到更多关注。ApacheLog4j2就是一款关（1）主流开源生态关键基础开源软件TOP50Rubygems等主流开源生态中的关键基础开源软件共有1709款，较123org.scala-lang:scala-42256789org.jetbrains.kotlin:kotlin-storg.jetbrains.kotlin:kotlin-st23ch.qos.logback:logbaorg.jetbrains.kotlin:kotlin-stcom.fasterxml.jackson.core:jmons:comm24Microsoft.Extensions.Deporg.assertj:assertj-（2）关键基础开源软件的漏洞披露情况未见改善2s（3）关键基础开源软件的整体运维风险有所改观得大厂或者基金会支持，比前两年的23和24款有明显增加；Github26（1）超95%的恶意开源组件以窃取敏感信息为目标示。可以看出，95.3%的恶意组件以窃取敏感信息为最终目标，这些27（2）典型恶意开源组件及恶意行为剖析npm_package_devdependedeuna-lib-tl-react-n2829四、国内企业软件开发中开源软件应用状况30（1）平均每个软件项目使用166个开源软件，再创新高31（2）最流行的开源软件被37.2%的软件项目使用322、开源软件漏洞风险分析（1）存在容易利用的开源软件漏洞的项目占比大幅下降33（2）平均每个项目包含的已知开源软件漏洞数明显回落34本次分析的软件项目中，引入已知开源软件漏洞最多的数量为35（3）影响最广的开源软件漏洞的影响范围有所减小从漏洞的影响度来分析，影响范围最大的开源软件漏洞为FasterXMLjackson-databind代码问题漏洞FasterXMLjackson-databind代码问题漏洞FasterXMLjackson-databind代码问题漏洞36CVE-2016-1000027（4）20多年前的开源软件漏洞仍然存在于多个软件项目中2113785881PortableNetworkGraphic6235210241223、开源软件许可协议风险分析（1）最流行的开源许可协议在46.9%的项目中使用38奇安信代码安全实验室将限制性较为苛刻的一类协议定义为超3987数404、开源软件运维风险分析（1）多个二三十年前的老旧开源软件版本仍在使用老旧的开源软件版本，有的版本已经超过30年，存在极大的运维风114111214131（2）开源软件各版本使用依然混乱Springframework:SpringCoreSpringframework:SpringBeaSpringframework:SpringContextSpringframework:SpringWeb42Springframework:SpringContextSupport五、典型软件供应链安全风险实例分析1、多款主流操作系统供应链攻击实例分析Ubuntu是一款被广泛使用的Linux操作系统发行版，具有多种支持Python、Java、C++等多种编程语言，还提供了本控制系统等开发库和工具。使用者通常使用aptUbuntu上安装MiniDLNA，以获得媒体播放服务。支持音乐、图片、视频等媒体文件的播放，可帮助用户通过DLNA兼件。MiniDLNA被广泛部署在Linux服务器上，同时也广泛应用于路CVE-2023-33476是MiniDLNA的一个越界写类型的超危历史漏洞,43特别适用于Web开发。PHP在运行时会依赖于底层的系统库Linux44运行库，是Linux系统中最底层的API，几乎其他任何运行库都会依程命令执行攻击，从而提升了漏洞的危害程度。该漏洞影响Linux了glibc2.35，利用上述历史漏洞后，可以看到执行了给定的命令令执行攻击。4s本实例中，软件供应链风险传播链条为：PHP程序运行时使用3、某国产数据库供应链攻击实例分析数据库MySQL的适配，该国产数据库的最新版本基于MySQLJDBCJDBC（JavaDatabaseConnectivity）是Java提供的一套用于连接数据库的标准API，它定义了一